Schneider Electric und Vestas: Ransomware-Bande Lockbit 2.0 nennt prominente Opfer

10. Dezember 2021 um 13:35
image

Nach dem Angriff auf den Windenergie-Giganten Vestas haben die Kriminellen Daten veröffentlicht. Das neuste ihrer Opfer soll Schneider Electric sein. Der Konzern dementiert.

Am 19. November entdeckte der dänische Windenergie-Konzern Vestas einen Cyberangriff. IT-Systeme über mehrere Geschäftsbereiche und Standorte hinweg seien heruntergefahren worden, teilte das Unternehmen damals mit.
In einer weiteren Mitteilung schrieb Vestas am 6. Dezember, alle Systeme bis auf wenige Ausnahmen seien wieder betriebsbereit. "Die Arbeiten und Untersuchungen dauern noch an, und Vestas hat nach wie vor keine Anzeichen dafür, dass der Vorfall Auswirkungen auf die Abläufe bei Kunden und in der Lieferkette hat. Eine Ansicht, die von externen Experten bestätigt wird."
Während des Angriffs seien Daten illegal aus den IT-Systemen des Unternehmens entwendet worden. "Die Angreifer haben seitdem damit gedroht, die gestohlenen Daten zu veröffentlichen."
Vestas benennt die Angreifer nicht mit Namen, aber diese haben am 8. Dezember ihre Drohung wahr gemacht – und damit wird auch klar, wer vermutlich hinter der Attacke steckt: die Ransomware-Bande Lockbit 2.0. Diese bekannte sich zum Angriff und veröffentlichte auf ihrer Seite im Darknet einen Datensatz.

Vor allem Daten von Vestas-Angestellten gestohlen

Vestas reagierte umgehend mit einer weiteren Mitteilung: "Den Hackern ist es gelungen, Daten aus den kompromittierten internen File-Share-Systemen abzurufen und einen Teil der kompromittierten Daten öffentlich zu machen. Es gibt keine Hinweise darauf, dass personenbezogene Daten ausserhalb von Vestas internen Systemen kompromittiert wurden."
Beim Grossteil der erbeuteten Daten soll es sich um Informationen zu Mitarbeiterinnen und Mitarbeitern wie Namen, Adressen, Telefonnummern sowie teilweise Gehaltsangaben und Lebensläufe handeln. In einigen Fällen seien laut Vestas auch sensiblere Daten wie Pässe und Bankdaten abgerufen worden. Man werde die Betroffenen informieren. Der Konzern fordert alle Angestellten und Geschäftspartner auf, "weiterhin wachsam bei Hinweisen auf einen Missbrauch ihrer personenbezogenen Daten zu bleiben".
Lockbit 2.0 arbeitet mit dem Rasomware-as-a-Service-Modell und war zuvor unter dem Namen ABCD aktiv. Im Sommer 2021 sorgte die Bande mit einem Angriff auf Accenture für Aufsehen. Auch danach wurden im August Datensätze veröffentlicht, darunter seien aber kaum sensible Informationen, sondern hauptsächlich Marketing-Material gewesen, hiess es.
image
Bekanntgabe von Lockbit 2.0 im Darknet.

Schneider Electric: "Bisher keine Hinweise"

Ebenfalls in dieser Woche gab Lockbit 2.0 ein weiteres angebliches prominentes Opfer bekannt. Die Bande will den Elektrokonzern Schneider Electric angegriffen haben. Das französische Unternehmen ist mit rund 135'000 Mitarbeitenden in über 100 Ländern vertreten und verfügt auch über mehrere Niederlassungen in der Schweiz.
Laut der Site von Lockbit im Darknet sind erste Datensätze von Schneider Electric veröffentlicht worden. Publiziert wurde aber bis jetzt nur ein sehr kleiner Datensatz von unter 2MB, darunter befindet sich etwa das PDF eines Zertifikats der Registrierung der Firma in Indien von 2017.
Gegenüber der französischen Website 'LeMagIT' dementierte der Konzern bisher den Angriff. "Uns ist eine Behauptung bekannt, dass Schneider Electric Opfer eines Ransomware-Angriffs wurde. Derzeit gibt es keine Hinweise auf ein solches Ereignis. Unser Cybersicherheitsteam untersucht diese Behauptung", erklärte der Kommunikationschef von Schneider Electric.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Iraner wollten US-Wahlkampf mithilfe von ChatGPT beeinflussen

OpenAI hat ChatGPT-Accounts von iranischen Nutzern identifiziert und gesperrt. Diese hatten Inhalte erstellt, um Wählerinnen und Wähler in den USA mit Fake News zu beeinflussen.

publiziert am 19.8.2024