Rheinmetall mit Ransomware BlackBasta angegriffen

Der Rüstungskonzern und Automobilzulieferer Rheinmetall ist das Opfer eines Ransomware-Angriffs. Zu der Attacke bekannte sich die BlackBasta-Gruppe, wie Malwarebytes berichtet. Demnach wurden IT-Systeme mindestens einer Tochter des Düsseldorfer Unternehmens kompromittiert.

Rheinmetall erklärte dem Bericht zufolge, dass die Rüstungsproduktion durch den Vorfall nicht eingeschränkt sei. Ein Sprecher der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) der Staatsanwaltschaft in Köln bestätigte den Angriff auf Rheinmetall. Mit Hinweis auf die laufenden Ermittlungen wollte der Sprecher jedoch keine weiteren Details nennen.

Offenbar kein politisches Motiv

Malwarebytes geht trotz der angenommen russischen Herkunft der BlackBasta-Gruppe nicht von einem politisch motivierten Angriff auf ein Rüstungsunternehmen aus. BlackBasta verfolge ausschließlich finanzielle Ziele. Das vergangene Jahr habe zudem gezeigt, dass die Cybererpresser eine Vorliebe für Ziele in Deutschland hätten – hierzulande sei die Gruppe deutlich aktiver als in Großbritannien oder Frankreich.

In der Regel verschaffe sich BlackBasta per Phishing Zugang zu Systemen seiner Opfer. Typisch sei beispielsweise ein E-Mail mit einer angehängten schädlichen Datei im ZIP-Format. Diese Datei installiere den Banking-Trojaner Qakbot, um eine Hintertür einzurichten und eine verschlüsselte Verbindung zu einem Befehlsserver der Angreifer herzustellen. Im nächsten Schritt werde dann CobalStrike eingeschleust, um die Netzwerkumgebung zu erfassen, so Malwarebytes weiter.

Zwei Tochterfirmen betroffen

Die anschließend installierte Ransomware kopiert Daten des Opfers, um danach Dateien zu verschlüsseln und Volume-Schattenkopien zu löschen. Laut Malwarebytes sind die Angreifer in der Regel über einen Zeitraum von mehreren Tagen im Netzwerk des Opfers aktiv, bevor sie ihre Erpressersoftware ausführen.

Echo24 berichtet indes, dass der Angriff auf Rheinmetall auch das Tochterunternehmen Kolbenschmidt in Neckarsulm betrifft. Bei dem Hersteller für Kolben für Otto- und Dieselmotoren seien mehrere Systeme ausgefallen. Außerdem habe die Tochter Pierburg in Neuss am Freitag den Geschäftsbetrieb vorübergehend eingestellt.

„Rheinmetall bestätigt einen IT-Vorfall im zivilen Geschäft des Konzerns. Das zivile Geschäft umfasst im Wesentlichen die Aktivitäten des Unternehmens, die vor allem industrielle Kunden – hauptsächlich im Automotive-Sektor – adressieren. Die Störung betrifft somit nicht das militärische Geschäft der drei Divisionen Vehicle Systems, Weapon and Ammunition sowie Electronic Solutions. Hier läuft der Betrieb verlässlich weiter. Rheinmetall ermittelt derzeit das Schadensausmaß und steht mit zuständigen Behörden im engen Austausch. Mit Blick auf die laufenden Ermittlungen kann zu Details derzeit keine Stellung bezogen werden“, erklärte ein Rheinmetall-Sprecher im Gespräch mit Echo24.