Ransomware BitPaymer trifft deutsches Unternehmen für Automatisierungstechnik
Das deutsche Unternehmen für Automatisierungstechnik, die Pilz GmbH & Co. KG in Ostfildern, Baden-Württemberg, ist Opfer eines gezielten Cyberangriffs geworden. Der Angriff fand am 13. Oktober 2019 statt. Er betraf alle 76 Pilz-Niederlassungen in aller Welt. Sämtliche Server- und PC-Arbeitsplätze einschließlich des Kommunikationsnetzwerkes des Unternehmens wurden lahmgelegt.
In einer offiziellen Mitteilung hieß es, das Unternehmen hätte vorsorglich alle Computersysteme vom Netz genommen sowie den Zugang zum Netzwerk des Unternehmens gesperrt. Sowohl die Staatsanwaltschaft und das Bundesamt für Sicherheit in der Informationstechnik wurden über den Vorfall informiert. Ein interner Krisenstab bei Pilz sollte die Störungen schnellstmöglich beheben und mithelfen, den Ursprung des Angriffs zu identifizieren.
Am 16. Oktober konnte der E-Mail-Service in der Zentrale wieder aufgenommen werden. Und am 18. Oktober war dann der E-Mail-Service der weltweit verstreuten Tochtergesellschaften auch wieder hergestellt. Auch die Lieferfähigkeit war am 25. Oktober wieder gesichert. Ein Team aus IT-Spezialisten arbeitete seit dem Angriff gemeinsam mit externen Cyber-Forensikern und in Zusammenarbeit mit dem Landeskriminalamt Baden-Württemberg unermüdlich an der Aufarbeitung des Angriffs. In einem offiziellen Statement hieß es, übermittelte Daten seien vollständig erhalten und höchstwahrscheinlich nicht in die Hände von unbefugten Dritten gelangt.
Pilz zählt zu den welt-größten Herstellern von Automationstechnik und Komplettlösungen für Sicherheits- und Steuerungstechnik. Maarten van Dantzig, führender Intelligenzanalytiker bei FoxIT, konnte den Angriff mit der BitPaymer Ransomeware in Verbindung bringen. Dazu analysierte van Dantzig eine Softwareprobe. Sie enthielt eine Lösegeldforderung mit Kontaktdaten, die allesamt auf das Pilz-Firmennetzwerk ausgelegt waren.
Der BitPaymer Ransomware-Strang treibt sein Unwesen schon seit Mitte 2017. Bekannte Opfer waren mehrere schottische Krankenhäuser, die Golf Tour PGA, zwei Städte in Alaska und ein Getränkeunternehmen in Arizona Beverages sowie dem französischen Fernsehsender M6. Die Angriffe nutzten auch ein iTunes Zero-Day aus.
Die Strippenzieher hinter BitPaymer geben sich nie mit Kleinkram ab. Sie suchen ihre Opfer so aus, dass eine möglichst hohe Lösegeldforderung dabei erpresst werden kann. Heimcomputer von Privatpersonen gehören daher nicht zu ihren Zielen. Von Dantzig erklärte, dass die Ransomware in den letzten zwei Jahren ausschließlich über das Dridex Botnet verbreitet wurde. Andere Experten vermuten, dass Dridex selbst Urheber der BitPaymer Ransomware sei. Sie gehen davon aus, dass Dridex Spam-E-Mails verschickt mit dem Dridex-Trojaner und dann BitPaymer in die Netzwerke großer Unternehmen eingeschleust. Ziel ist es, möglichst hohe Lösegeldsummen abzugreifen. Statistiken zeigen, dass die Gruppe damit ziemlich erfolgreich war. In Sicherheitskreisen wird von etwa 1 Million US-Dollar gesprochen pro Ransomwareangriff.
Seit April dieses Jahres haben die Angriffe durch BitPaymer deutlich zugenommen. Van Dantzig erläuterte, dass eine BitPaymer-Infektion tückisch sei. Selbst nach Bereinigung der Unternehmensnetzwerke, müssen Administratoren den Dridex Trojaner noch auf ihren Hostingsystemen suchen und ihn auch von dort entfernen, sonst beginnt das Spiel vorn.
Artikel von zdnet.com, 21.10.2019: Major German manufacturer still down a week after getting hit by ransomware