Continental-Einbruch: Lockbit-Cybergang fordert 50 Millionen US-Dollar
Für 50 Millionen US-Dollar bieten die Lockbit-Erpresser an, die Daten zu löschen oder auszuliefern, die sie beim DAX-Unternehmen Continental gestohlen haben.
(Bild: aslysun/Shutterstock.com)
Die Daten, die die Lockbit-Cybergang beim DAX-Unternehmen Continental abgezogen hat, stellen die Cyberkriminellen jetzt für 50 Millionen US-Dollar zum Verkauf. Offenbar sind die Lösegeld-Verhandlungen weiterhin nicht erfolgreich gewesen.
Aktualisierte Webseite
Die Lockbit-Drahtzieher haben ihre Webseite im Darknet entsprechend aktualisiert. Die Erpresser schreiben: "Wolfgang Reitzle war ein sehr gieriger Mann. Daher sind wir bereit, 40 Terabyte an privaten Informationen des Unternehmens für nur 50 Millionen Dollar zu verkaufen. Eine Liste der gestohlenen Dateien können Sie hier lesen".
(Bild: Screenshot)
Zudem sind nun die Kaufmöglichkeiten "Fristverlängerung" für 100 US-Dollar, "Daten löschen" für 50 Millionen US-Dollar und "Daten-Download kaufen" für ebenfalls 50 Millionen US-Dollar auf der Seite erschienen. Die ersten beiden Optionen scheinen für Continental gedacht zu sein. Das Unternehmen macht aber offenbar keinen Gebrauch davon, auch nicht von der Fristverlängerung.
Es finden sich tatsächlich auch Download-Links für das Verzeichnis an gestohlenen Daten dort. Allein das Verzeichnis umfasst komprimiert 421 MByte. Entpackt enthält die Datei die Pfade und Dateinamen aus dem Leak und ist 7 GByte groß. Die Beurteilung, wie wertvoll die Daten sind, kann jedoch nur Continental vornehmen – etwa Archive mit Materialtests und -bewertungen könnten auch veraltet sein.
(Bild: Screenshot)
Die Lockbit-Gang ist jedoch professioneller unterwegs. Nebst des Angebots eines Bug-Bounty-Programms und Kohle für Lockbit-Tattoos nutzen die Cyberkriminellen weitere gängige Marketing-Kniffe. Dazu gehört auch, ein paar aussagekräftige Screenshots als Anschauungsmaterial bereitzustellen. Da finden sich Bilder vertraulicher Informationen von Texas Instruments, aber auch von einem Python-Skript. Das stellt offenbar VPN-Verbindungen her – Nutzername und Passwort sind im Klartext zu sehen.
(Bild: Screenshot)
Neben den Zugangsdaten gibt es noch für potenzielle Einbrecher hilfreiche Informationen. So nutzt Continental offenbar unter anderem Cisco Anyconnect. Da die Zugangsdaten vermutlich bereits geändert wurden, können Angreifer noch im Exploit-Werkzeugkasten wühlen und versuchen, speziell Sicherheitslücken in Anyconnect anzugreifen.
Zunächst heruntergespielt
Anfang dieser Woche wurde bekannt, dass ein Cyber-Angriff auf Continental Ende August offenbar doch nicht ohne Schäden ablief. Continental hatte zunächst gemeldet, dass der Angriff abgewehrt wurde und die IT-Systeme unter Kontrolle seien, Beeinträchtigungen habe es nicht gegeben.
Gegenüber heise online bestätigte das Unternehmen dann jedoch, dass die Folgen des Einbruchs noch nicht ausgestanden seien: "Die mit Unterstützung externer Experten für Cybersicherheit durchgeführte Untersuchung des Vorfalls dauert derzeit noch an und erfolgt mit höchster Priorität." Diese Untersuchung habe in der Zwischenzeit ergeben, "dass die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten."
Details zum Inhalt des herunterladbaren Archivs ergänzt.
(dmk)
