heise PlusAbo
Anzeige

Lockbit steckt hinter Cyberangriff auf Schulen in Rheinland-Pfalz

Über vierzig Schulen sind von dem Angriff betroffen und derzeit nicht am Netz. Die Lockbit-Bande droht nun mit Veröffentlichung oder Verkauf von Daten.

vorlesen Druckansicht 36 Kommentare lesen
Ransomware auf einem Rechner

Ransomware-Nachricht auf einem Laptop.

(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)

Update
Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Es ist der wohl bislang größte Ransomware-Angriff auf deutsche Institutionen in diesem Jahr: Mehrere Dutzend Schulen in Rheinland-Pfalz wurden Mitte Januar mit einem Verschlüsselungstrojaner infiziert. Einfallstor für die Attacke war wohl das Netz eines externen Dienstleisters. Dessen Name tauchte nun auf der Leaksite der Lockbit-Bande auf.

Wie die "Rheinpfalz" berichtete, sind 45 Schulen in verschiedenen Städten und Landkreisen in Rheinland-Pfalz betroffen. Die Angriffe erstreckten sich wohl auf einen externen Dienstleister, der mittlerweile daran arbeite, die Netzwerke und Server wiederherzustellen, so die Zeitung weiter.

Videos by heise

Sowohl die betroffenen Verwaltungen als auch das zwischenzeitlich eingeschaltete LKA Rheinland-Pfalz schwiegen sich über Details des Angriffs aus. Ransomware sei im Spiel, hieß es. Doch welche Bande dahintersteckte, ob man um Lösegeld verhandele und welche Bande sich an den Schulnetzen vergriffen habe, blieb zunächst im Dunklen.

Angriff mit Lockbit-Ransomware

Ist Lockbit für den Angriff auf rheinland-pfälzische Schulen verantwortlich? Zumindest behauptet die Bande das auf ihrer Leaksite.

(Bild: heise security / cku)

Am Donnerstagabend tauchte auf der Darknet-Leaksite der Lockbit-Bande ein vielsagender Eintrag auf: Man habe einen IT-Dienstleister in Deutschland mit ĂĽber siebzig angeschlossenen Schulen angegriffen und mehr als 3 TByte Daten exfiltriert, behauptet die Bande. Bis zum 30. Januar habe das Opfer Zeit, dann wĂĽrden die erbeuteten Daten zum Verkauf angeboten, so Lockbit weiter.

Im Gespräch mit heise security bestätigte der Geschäftsführer des betroffenen Dienstleisters die Behauptungen der Cyberkriminellen. Der Angriff sei aus der Lockbit-Gruppe gekommen und betreffe 45 Schulen. Anders als zunächst in der Berichterstattung – auch unserer – dargestellt, seien aber keine Unternehmenskunden betroffen. "[Die angegriffenen] Schulen sind soweit wiederhergestellt, dass diese wieder arbeiten können", so der Geschäftsführer gegenüber heise security.

Ransomware-Angriffe bleiben eine große Gefahr für Unternehmen und öffentliche Institutionen. Nach dem verheerenden Angriff auf die Südwestfalen-IT litten Kommunen und Kreise in Westfalen monatelang unter den Folgen. Deutsche Unternehmen stufen Cybervorfälle als größtes Risiko für ihren Betrieb ein, ergab auch eine Befragung der Allianz.

Update

Angaben der Geschäftsführung des betroffenen Dienstleisters ergänzt.

(cku)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten