Zwei Töchter des Rüstungskonzerns sind offenbar betroffen. Tätig sind sie aber im Bereich Automotive. Den Vorfall, zu dem sich die BlackBasta-Gruppe bekennt, wurde durch Rheinmetall bestätigt.
Rheinmetall, der Rüstungskonzern und Automobilzulieferer ist nun Opfer eines Ransomware-Angriffs geworden. Wie Malwarebytes berichtete, bekannte sich die BlackBasta-Gruppenun zu dem Angriff. Bei mindestens einer Tochter des Düsseldorfer Unternehmens wurden IT-Systeme kompromittiert. Dem Bericht zufolge erklärte Rheinmetall, dass die Rüstungsproduktion durch den Vorfall nicht eingeschränkt sei. Der Angriff auf Rheinmetall wurde durch den Sprecher der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) der Staatsanwaltschaft Köln bestätigt. Der Sprecher wollte mit Hinweis auf die laufenden Ermittlungen jedoch keine weiteren Details nennen.
Offenbar kein politisches Motiv
Trotzalledem geht Malwarebytes bei der angenommen russischen Herkunft der BlackBasta-Gruppe nicht von einem politisch motivierten Angriff auf ein Rüstungsunternehmen aus. BlackBasta habe ausschließlich finanzielle Ziele. Zudem habe das vergangene Jahr gezeigt, dass die Cybererpresser eine Vorliebe für Ziele in Deutschland hätten – hierzulande sei die Gruppe deutlich aktiver als in Großbritannien oder Frankreich. BlackBasta verschaffe sich in der Regel per Phishing Zugang zu Systemen seiner Opfer. Eine E-Mail mit einer angehängten schädlichen Datei im ZIP-Format sind hierfür typisch. Diese Datei installiere den Banking-Trojaner Qakbot, um eine Hintertür einzurichten und eine verschlüsselte Verbindung zu einem Befehlsserver der Angreifer herzustellen. CobalStrike werde dann im nächsten Schritt eingeschleust, um die Netzwerkumgebung zu erfassen, so Malwarebytes weiter.
Zwei Tochterfirmen betroffen
Die dann installierte Ransomware kopiert Daten des Opfers, um danach Dateien zu verschlüsseln und Volume-Schattenkopien zu löschen. Die Angreifer sind laut Malwarebytes in der Regel über einen Zeitraum von mehreren Tagen im Netzwerk des Opfers aktiv, bevor sie ihre Erpressersoftware ausführen. Dass der Angriff auf Rheinmetall auch das Tochterunternehmen Kolbenschmidt in Neckarsulm betrifft – darüber berichtete Echo24. Bei dem Hersteller für Kolben für Otto- und Dieselmotoren seien indes mehrere Systeme ausgefallen. Die Tochter Pierburg in Neuss habe zudem am Freitag den Geschäftsbetrieb vorübergehend eingestellen müssen.