Digital
Ransomware

Lockbit erpresst Chiphersteller TSMC und fordert 70 Mio. Lösegeld

Der taiwanische Chiphersteller TSMC wird von der Ransomware-Bande LockBit erpresst. (30. Juni 2023)
Ein TSMC-Partnerunternehmen in Taiwan ist gehackt worden – mit bislang unabsehbaren Folgen für den weltgrössten Chip-Auftragsfertiger.Bild: watson / Shutterstock

LockBit erpresst Chiphersteller TSMC und fordert 70 Mio. – das steckt dahinter

Der taiwanische Apple-Zulieferer hat gegenüber watson «einen Cyber-Sicherheitsvorfall bei einem IT-Hardware-Lieferanten» bestätigt. Die Auswirkungen hielten sich aber in Grenzen.
30.06.2023, 08:2804.07.2023, 13:18
Mehr «Digital»

Was ist passiert?

Die berüchtigte Ransomware-Bande LockBit behauptet, den taiwanischen Chiphersteller TSMC gehackt zu haben, und verlangt ein Lösegeld von 70 Millionen Dollar.

Ein TSMC-Sprecher bestätigt auf Anfrage einen Cyberangriff, relativiert aber die Folgen (unten mehr).

Auf ihrer Leak-Site im Darknet drohen die Cyberkriminellen mit der Veröffentlichung von gestohlenen Daten, falls das Unternehmen nicht auf die Erpressung eingeht. Als «Deadline» wird der 6. August 2023 genannt – eine ungewöhnlich lange Frist für Ransomware-Fälle.

Die Ransomware-Bande LockBit behauptet, den weltgrössten Chiphersteller TSMC gehackt zu haben und verlangt ein Lösegeld von 70 Millionen Dollar.
Drohung im Darknet: 37 Tage bis zur Veröffentlichung der angeblich erbeuteten Daten.Screenshot: watson

In dem am Donnerstagabend (29. Juni) veröffentlichten Posting behaupten die unbekannten Verfasser in holprigem Englisch, sie hätten «Zugangspunkte zum Netzwerk» sowie «Passwörter und Logins» des Unternehmens gestohlen.

Die Taiwan Semiconductor Manufacturing Company, kurz TSMC, ist der weltweit drittgrösste Halbleiterhersteller (was den Jahresumsatz betrifft) und der weltgrösste unabhängige Auftragsfertiger. Das Unternehmen beliefert einige der wichtigsten Techkonzerne, allen voran Apple.

Was wissen wir zum Ausmass des Hackerangriffs?

Relativ wenig.

Auf der LockBit-Website im Darknet wurden zunächst keine Screenshots veröffentlicht oder Dateien zugänglich gemacht, die den angeblichen Datendiebstahl belegten.

Ein TSMC-Sprecher erklärte gegenüber watson:

«TSMC hat vor Kurzem erfahren, dass es bei einem unserer IT-Hardware-Lieferanten zu einem Cyber-Sicherheitsvorfall gekommen ist, bei dem Informationen über die Ersteinrichtung und Konfiguration von Servern nach aussen gedrungen sind.»

Bei TSMC durchlaufe jede Hardwarekomponente eine Reihe umfangreicher Prüfungen und Anpassungen, einschliesslich Sicherheitskonfigurationen, bevor sie in das System von TSMC eingebaut werde, betont der Mediensprecher.

Und der TSMC-Sprecher versicherte:

«Die Überprüfung hat ergeben, dass dieser Vorfall weder den Geschäftsbetrieb von TSMC beeinträchtigt hat, noch wurden Kundendaten von TSMC gefährdet.»

Nach dem Vorfall habe TSMC «den Datenaustausch mit dem betroffenen Lieferanten in Übereinstimmung mit den Sicherheitsprotokollen und Standardbetriebsverfahren des Unternehmens sofort beendet».

«Dieser Cybersicherheitsvorfall wird derzeit von einer Strafverfolgungsbehörde untersucht.»

Laut einer von TSMC per E-Mail verbreiteten Erklärung sind die Cyberkriminellen bei Kinmax Technologies eingedrungen, einem taiwanischen Unternehmen, das sich auf Netzwerk-Technik, Host-/Cloud-Computing und Datenbankmanagement spezialisiert hat. Der Angriff sei Donnerstagfrüh erfolgt.

Inzwischen sind auf der LockBit-Darknet-Seite mutmasslich TSMC betreffende Dateien zugänglich gemacht worden.

Wer steckt dahinter?

Ein krimineller Geschäftspartner («Affiliate») von LockBit, der unter dem Namen National Hazard Agency agiert.

Dies geht aus einem aktuellen Tweet des Hacker-Forums «vx-underground» hervor. Die Forumsbetreiber gelten als hervorragend vernetzt innerhalb der Branche. Sie bieten die angeblich grösste Sammlung an Malware-Quellcode an.

Dieser Screenshot wurde von «vx-underground» bei Twitter veröffentlicht.
Dieser Screenshot wurde von «vx-underground» bei Twitter veröffentlicht.screenshot: twitter

Anführer der National Hazard Agency ist ein 27-jähriger ukrainischer Cyberkrimineller, der unter dem Pseudonym «Bassterlord» agiert und schon mit mindestens vier bekannten Ransomware-Banden kooperiert haben soll. Neben LockBit waren dies die Gruppen REvil, RansomEXX, Avadon.

LockBit zählt zu den aktivsten und gefährlichsten Banden, die Ransomware-as-a-Service (RaaS) anbieten. Die russischsprachigen Cyberkriminellen haben bereits hunderte Opfer überwiegend in Europa und Nordamerika attackiert.

Update: Lockbit veröffentlicht Dateien

Als Beleg für den angeblichen Datendiebstahl ist auf der Leak-Site von LockBit im Darknet am 3. Juli ein Link zum Filehosting-Dienst «MEGA» veröffentlicht worden.

LockBit vs. TSMC, Screenshot der Leak-Site im Darknet.
Screenshot: watson

Beim Filehosting-Dienst sind 16 Dateien verfügbar, darunter Textdokumente und komprimierte Dateien, die mit dem attackierten Unternehmen in Verbindung stehen.

LockBit vs. TSMC, Screenshot des Filehostings-Dienstes MEGA, wo am 3. Juli 2023 angeblich gestohlene Dateien zugänglich gemacht wurden.
watson geht nicht auf die Inhalte des Leaks ein.Screenshot: watson

Laut dem IT-Sicherheitsforscher William Thomas, der für das Cybersecurity-Unternehmen Equinix arbeitet, ist die Lösegeldforderung der LockBit-Bande in Höhe von 70 Millionen US-Dollar die bislang vierthöchste geforderte Summe:

  • Hive: MediaMarkt - 240 Mio. $
  • REvil: Acer - 100 Mio. $
  • REvil: Kaseya - 70 Mio. $
  • LockBit: TSMC - 70 Mio. $
  • LockBit: Pendragon - 60 Mio. $
Bild
screenshot: twitter

Ist das die erste Ransomware-Attacke gegen TSMC?

Nein.

Im August 2018 war TSMC von «WannaCry» betroffen und musste die Produktion vorübergehend stoppen. Die von russischsprachigen Cyberkriminellen in Umlauf gebrachte Windows-Ransomware richtete einen volkswirtschaftlichen Schaden in insgesamt zweistelliger Milliardenhöhe an.

Quellen

Mehr zu TSMC

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Nico beim Fischen – da zappelt einiges an der Rute
Video: watson
Das könnte dich auch noch interessieren:
6 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
TRN
30.06.2023 12:14registriert Dezember 2021
TSMC als "Apple-Zulieferer" zu bezeichnen - wohl aus Unkenntnis - wird der Sache nicht gerecht. TSMC wird aufgrund der Marktposition und des Technologievorsprungs erhebliche geostrategische Relevanz zugesprochen. TSMC produziert mehr als die Hälfte aller Halbleiter (laut Angaben der US-Regierung mindestens 70 %) – bei den modernsten Varianten hat TSMC einen Weltmarktanteil von mehr als 90 Prozent. ... Aber hier wurde ja gestern schon gefragt, ob der Erfolg von NVIDIA einfach ein Hype sei...
360
Melden
Zum Kommentar
6
Der Bundesrat will eine nationale Cloud schaffen – die wichtigsten Fragen und Antworten
Ziel der Modernisierung sei es, die Cybersicherheit und die Unabhängigkeit der Schweiz zu stärken.

Der Bund will seine eigene Cloud-Infrastruktur modernisieren und so die digitale Transformation vorantreiben. Die «Swiss Government Cloud» (SGC) koste knapp 320 Millionen Franken, wie am Mittwoch informiert wurde. Das Parlament könne über einen Verpflichtungskredit von 247 Millionen Franken entscheiden.

Zur Story