Rheinmetall mit Ransomware BlackBasta angegriffen

Der Rüstungskonzern und Automobilzulieferer Rheinmetall ist das Opfer eines Ransomware-Angriffs. Zu der Attacke bekannte sich die BlackBasta-Gruppe, wie Malwarebytes berichtet. Demnach wurden IT-Systeme mindestens einer Tochter des Düsseldorfer Unternehmens kompromittiert.

Rheinmetall erklärte dem Bericht zufolge, dass die Rüstungsproduktion durch den Vorfall nicht eingeschränkt sei. Ein Sprecher der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) der Staatsanwaltschaft in Köln bestätigte den Angriff auf Rheinmetall. Mit Hinweis auf die laufenden Ermittlungen wollte der Sprecher jedoch keine weiteren Details nennen.

Offenbar kein politisches Motiv

Malwarebytes geht trotz der angenommen russischen Herkunft der BlackBasta-Gruppe nicht von einem politisch motivierten Angriff auf ein Rüstungsunternehmen aus. BlackBasta verfolge ausschließlich finanzielle Ziele. Das vergangene Jahr habe zudem gezeigt, dass die Cybererpresser eine Vorliebe für Ziele in Deutschland hätten – hierzulande sei die Gruppe deutlich aktiver als in Großbritannien oder Frankreich.

In der Regel verschaffe sich BlackBasta per Phishing Zugang zu Systemen seiner Opfer. Typisch sei beispielsweise ein E-Mail mit einer angehängten schädlichen Datei im ZIP-Format. Diese Datei installiere den Banking-Trojaner Qakbot, um eine Hintertür einzurichten und eine verschlüsselte Verbindung zu einem Befehlsserver der Angreifer herzustellen. Im nächsten Schritt werde dann CobalStrike eingeschleust, um die Netzwerkumgebung zu erfassen, so Malwarebytes weiter.

Zwei Tochterfirmen betroffen

Die anschließend installierte Ransomware kopiert Daten des Opfers, um danach Dateien zu verschlüsseln und Volume-Schattenkopien zu löschen. Laut Malwarebytes sind die Angreifer in der Regel über einen Zeitraum von mehreren Tagen im Netzwerk des Opfers aktiv, bevor sie ihre Erpressersoftware ausführen.

Echo24 berichtet indes, dass der Angriff auf Rheinmetall auch das Tochterunternehmen Kolbenschmidt in Neckarsulm betrifft. Bei dem Hersteller für Kolben für Otto- und Dieselmotoren seien mehrere Systeme ausgefallen. Außerdem habe die Tochter Pierburg in Neuss am Freitag den Geschäftsbetrieb vorübergehend eingestellt.

„Rheinmetall bestätigt einen IT-Vorfall im zivilen Geschäft des Konzerns. Das zivile Geschäft umfasst im Wesentlichen die Aktivitäten des Unternehmens, die vor allem industrielle Kunden – hauptsächlich im Automotive-Sektor – adressieren. Die Störung betrifft somit nicht das militärische Geschäft der drei Divisionen Vehicle Systems, Weapon and Ammunition sowie Electronic Solutions. Hier läuft der Betrieb verlässlich weiter. Rheinmetall ermittelt derzeit das Schadensausmaß und steht mit zuständigen Behörden im engen Austausch. Mit Blick auf die laufenden Ermittlungen kann zu Details derzeit keine Stellung bezogen werden“, erklärte ein Rheinmetall-Sprecher im Gespräch mit Echo24.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

4 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

22 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago