Die IT-Systeme des Industriekonzerns ABB sind angegriffen worden. «ABB hat vor kurzem einen IT-Sicherheitsvorfall festgestellt, der direkte Auswirkungen auf bestimmte Standorte und Systeme hatte», bestätigte ABB am Freitag Informationen von AWP.
Laut «Bleeping Computer» wurde der Ransomware-Angriff der russischen Hackergruppe «Black Basta» am 7. Mai bemerkt. Das Medium zitiert mehrere Mitarbeiter, wonach Hunderte Geräte betroffen seien. Der Angriff störe den Betrieb, verzögere Projekte und wirke sich auf die Fabriken aus.
Gemäss «Tages-Anzeiger» erfolgte der Angriff bereits am Vortag. Fast den ganzen Tag seien weltweit fast alle IT-Systeme von ABB ausgefallen. «Die meisten Mitarbeitenden waren betroffen. Insbesondere waren sie ohne Zugang auf interne Laufwerke, SAP und verschiedene Tools.»
Gemäss «guten Quellen» seien auch Kunden betroffen, schreibt der «Tages-Anzeiger». So hätten etwa gesicherte Remote-Verbindungen unterbrochen werden müssen und der Service-Support sei ebenfalls betroffen.
Um die Situation zu adressieren, seien Massnahmen zur Eindämmung des Vorfalls ergriffen worden, betonte ABB in einer Stellungnahme. Die Massnahmen dauerten weiterhin an. «Diese Eindämmungsmassnahmen haben zu einigen Betriebsunterbrechungen geführt, die das Unternehmen derzeit behebt», so ABB.
«Die grosse Mehrheit der Systeme und Fabriken sind in Betrieb. ABB bedient ihre Kunden weiterhin sicher», sagte ABB zu AWP.
ABB arbeitet gemäss eigenen Worten «weiterhin verantwortungsvoll mit den Kunden und Partnern zusammen, um diese Situation zu beheben und deren Auswirkungen zu minimieren.»
Im Juni 2022 war der Baustoffriese Knauf (12,5 Milliarden Euro Umsatz) von Black Basta lahmgelegt worden, wie inside-it.ch in Erinnerung ruft. «Der Angriff auf ABB könnte sich aber als weit grösser herausstellen», heisst es im Bericht.
Das wird sich erst noch zeigen.
Black Basta trat laut «Bleeping Computer» erstmals im April 2022 mit Attacken in Erscheinung. Die Gruppe setzt in der Regel auf «doppelte» Erpressung (Double Extortion).
Bei dieser perfiden Vorgehensweise stehlen die Hacker in einem ersten Schritt sensible Daten, die dann ebenfalls für Erpressungsversuche genutzt werden. In einem zweiten Schritt versuchen sie wertvolle Daten und Systeme zu verschlüsseln, um Lösegeld für die Entsperrung zu verlangen.
Es ist zu befürchten, dass sich die Hacker während längerer Zeit unbemerkt in den ABB-Netzwerken bewegten, die Systeme ausspionierten und wertvolle Daten «exfiltrierten». Die Gruppe verfügt über die dafür erforderlichen Mittel.
Auf der Leak-Site der Ransomware-Bande im Darknet ist noch kein entsprechendes Posting veröffentlicht worden. Das bedeutet, dass zurzeit noch Kontaktversuche oder vielleicht auch Verhandlungen zwischen Täter und Opfer laufen.
Die sind namentlich nicht bekannt.
Black Basta gehört in die Kategorie der kriminellen Banden, die «Ransomware as a Service» (RaaS) betreiben. Das heisst, sie stellen die für die Hackerangriffe und Erpressungen benötigte IT-Infrastruktur Dritten zur Verfügung.
Die Liste der bisherigen Opfer ist lang. Darunter sind viele mittelgrosse und sehr grosse Unternehmen, wie etwa die US-Konzerne AGCO (12,65 Milliarden Umsatz) und Capita (4 Milliarden) und die Gates Corporation (3,5 Milliarden).
Gemäss Sicherheitsexperten sind die Kernmitglieder von Black Basta aus der nicht mehr existierenden Ransomware-Gruppe Conti hervorgegangen. Es gebe grosse Ähnlichkeiten in der Herangehensweise an die Malware-Entwicklung, bei den Leak-Sites im Darknet, den Verhandlungen mit Opfern, Zahlungen und der Datenwiederherstellung.
Black Basta wurde auch mit der russischen Cyber-Crime-Bande FIN7 in Verbindung gebracht. Dabei handelte es sich um eine der gefährlichsten Hacker-Gruppen, die weltweit Unternehmen und Organisationen attackierte.
2020 änderte Fin7 seine Geschäftstätigkeit und kooperierte seither mit verschiedenen Ransomware-Gruppen, um möglichst hochrangige und lukrative Ziele ins Visier zu nehmen. Dies bezeichnen Fachleute als Big-Game Hunting.
(dsc/awp/sda)