Der Rüstungskonzern und Automobilzulieferer Rheinmetall ist das Opfer eines Ransomware-Angriffs. Zu der Attacke bekannte sich die BlackBasta-Gruppe, wie Malwarebytes berichtet. Demnach wurden IT-Systeme mindestens einer Tochter des Düsseldorfer Unternehmens kompromittiert.
Rheinmetall erklärte dem Bericht zufolge, dass die Rüstungsproduktion durch den Vorfall nicht eingeschränkt sei. Ein Sprecher der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) der Staatsanwaltschaft in Köln bestätigte den Angriff auf Rheinmetall. Mit Hinweis auf die laufenden Ermittlungen wollte der Sprecher jedoch keine weiteren Details nennen.
Malwarebytes geht trotz der angenommen russischen Herkunft der BlackBasta-Gruppe nicht von einem politisch motivierten Angriff auf ein Rüstungsunternehmen aus. BlackBasta verfolge ausschließlich finanzielle Ziele. Das vergangene Jahr habe zudem gezeigt, dass die Cybererpresser eine Vorliebe für Ziele in Deutschland hätten – hierzulande sei die Gruppe deutlich aktiver als in Großbritannien oder Frankreich.
In der Regel verschaffe sich BlackBasta per Phishing Zugang zu Systemen seiner Opfer. Typisch sei beispielsweise ein E-Mail mit einer angehängten schädlichen Datei im ZIP-Format. Diese Datei installiere den Banking-Trojaner Qakbot, um eine Hintertür einzurichten und eine verschlüsselte Verbindung zu einem Befehlsserver der Angreifer herzustellen. Im nächsten Schritt werde dann CobalStrike eingeschleust, um die Netzwerkumgebung zu erfassen, so Malwarebytes weiter.
Die anschließend installierte Ransomware kopiert Daten des Opfers, um danach Dateien zu verschlüsseln und Volume-Schattenkopien zu löschen. Laut Malwarebytes sind die Angreifer in der Regel über einen Zeitraum von mehreren Tagen im Netzwerk des Opfers aktiv, bevor sie ihre Erpressersoftware ausführen.
Echo24 berichtet indes, dass der Angriff auf Rheinmetall auch das Tochterunternehmen Kolbenschmidt in Neckarsulm betrifft. Bei dem Hersteller für Kolben für Otto- und Dieselmotoren seien mehrere Systeme ausgefallen. Außerdem habe die Tochter Pierburg in Neuss am Freitag den Geschäftsbetrieb vorübergehend eingestellt.
„Rheinmetall bestätigt einen IT-Vorfall im zivilen Geschäft des Konzerns. Das zivile Geschäft umfasst im Wesentlichen die Aktivitäten des Unternehmens, die vor allem industrielle Kunden – hauptsächlich im Automotive-Sektor – adressieren. Die Störung betrifft somit nicht das militärische Geschäft der drei Divisionen Vehicle Systems, Weapon and Ammunition sowie Electronic Solutions. Hier läuft der Betrieb verlässlich weiter. Rheinmetall ermittelt derzeit das Schadensausmaß und steht mit zuständigen Behörden im engen Austausch. Mit Blick auf die laufenden Ermittlungen kann zu Details derzeit keine Stellung bezogen werden“, erklärte ein Rheinmetall-Sprecher im Gespräch mit Echo24.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…