Ransomware-Befall beim Automobilzulieferer Gedia

[English]Beim Automobilzulieferer Gedia hat es eine Infektion mit Ransomware gegeben. In Folge wurden die IT-Systeme abgeschaltet, weil der Erpressungstrojaner auch Daten verschlüsselte. Ergänzung: Mir liegen Informationen vor, dass die Citrix ADC/Netscaler Shitrix-Schwachstelle das Einfalls-Tor gewesen sein könnte.


Anzeige

Die Gedia Automotive Group beschäftigt mehr als 4.300 Mitarbeiter/innen an acht Produktionsstätten/innen und produziert Karosseriepressteile sowie Schweißbaugruppen für die Automobilindustrie. Gedia operiert weltweit und hat unter anderem Produktionswerke in China, Mexiko und Polen.

Ransomware-Angriff legt Sauerländer Unternehmen lahm

Vor einigen Stunden berichtete der Sauerland-Kurier in diesem Artikel, dass der Automobilzulieferer Gedia in Attendorn Opfer eines schweren Hacker-Angriffs geworden sei. Das Unternehmen hat Donnerstagvormittag wohl eine Pressemitteilung dazu herausgegeben (auf der Unternehmensseite ist leider nichts dazu zu finden).

Das Medium LokalPlus  berichtete von einem Cyberangriff auf die Zentrale der Gedia Automotive Gruppe in Attendorn-Ennest (Sauerland). Der Angriff erfolgte in der Nacht von Montag auf Dienstag, den 21. Januar 2020. Gedia-Vertriebsleiter Markus Hammer wird von LokalPlus so zitiert, "dass die Sicherheitssysteme des Unternehmens die Attacke sehr schnell bemerkt hätten". Angesichts des Umfanges des Angriffs haben sich die Verantwortlichen schnell zur Abschaltung aller IT-Systeme entschieden und umgehend externe Experten hinzugezogen.

In der zentralen Verwaltung von Gedia in Attendorn-Ennest wurden 300 bis 350 Mitarbeiter dadurch in 'Zwangsurlaub' geschickt. Die Fehlzeiten sollen über Gleichzeitkonten und Mehrarbeit später ausgeglichen werden. Die Produktion des Zulieferers soll aber weiter laufen, so LokalPlus.

Sodinokibi Ransomware beteiligt?

Die Kollegen bei Bleeping Computer haben in diesem Artikel heute, vor Veröffentlichung der Gedia-Pressemitteilung berichtet, dass die Sodinokibi Ransomware beteiligt sei und die Hintermänner mit der Veröffentlichung von Daten der Automotive Group drohten.

Einstieg über Citrix ADC/Netscaler-Schwachstelle?

Ergänzung: Ich hatte schon zum Fall in Potsdam (siehe Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown) den Hinweis gegeben, dass die Sicherheitslücke im Citrix Netscaler eine Ursache für den erfolgreichen Angriff auf das Netzwerk gewesen sein könnte.

Nun ist mir obiger Tweet unter die Augen gekommen. Sieht möglicherweise so aus, dass die Citrix ADC/Netscaler Shitrix-Schwachstelle das Einfalls-Tor gewesen sein könnte. Ergänzung: Auch die Stadt Brandenburg ist von der Citrix-Schwachstelle, die nicht gestopft wurde, betroffen (siehe Cyber-Angriffe: Stadt Brandenburg und Gemeinde Stahnsdorf offline).


Anzeige

Ähnliche Artikel:
Datenleck beim Autovermieter Buchbinder
Datenleck bei Microsoft: 250 Mio. Call-Center-Datensätze in Cloud … 
Jeff Bezos per WhatsApp-Nachricht von Saudi Prinz gehackt
Ransomware beim Webmaschinenhersteller Picanol
Albany Airport (NY) Opfer eines Ransomware-Befalls
Ransomware-Befall bei Canyon Bicycles GmbH/Koblenz


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Ransomware-Befall beim Automobilzulieferer Gedia

  1. Hilti sagt:

    Cyber Angriff? Hacker Angriff?
    Da hat wohl wer einen Dateianhang geöffnet…
    In unserer Firma werden Mails mit MS-Office Anhängen sofort retourniert,
    mit einem Hinweis, sowas künftig zu unterlassen.
    Nur pdf ist zugelassen, alle anderen Formate sind gesperrt.

    • nOb0dy sagt:

      Lieber Herr Hilti (Hilti Liechtenstein? ^^ )

      Wer den Artikel gelesen und auch verstanden hat, müsste wissen, dass die Ransomware via Citrix Lücke "Shitrix" reingekommen ist. Eine Sicherheitslücke, welche der Hersteller Citrix erst mit dem letzten Update geschlossen hat (paar Tage/Stunden her).
      Vorher konnte man die Sicherheitslücke nur mit einem manuellen Befehl auf der Netscaler Console schliessen.
      Daher sind da keine MS-Office Produkte schuld dran….

      Gefährliches Halbwissen in der IT ist oftmals gefährlicher als nützlich.
      Nimmt mich ja wunder wieviele Hobbybastler ihre Airbags mit dem Mutlimeter durchmessen dank gefährlichem Halbwissen.

Schreibe einen Kommentar zu nOb0dy Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.