Clop Ransomware bei Technische Werke Ludwigshafen

[English]Der Energieversorger von Ludwigshafen, die Technische Werke Ludwigshafen (TWL) sind vergangene Woche wohl Opfer eines Ransomware-Angriffs geworden. Jetzt hat die verantwortliche Clop Ransomware-Gruppe erbeutete Kundendaten veröffentlicht.


Anzeige

Erste Informationen über einen Cyber-Angriff

Ich hatte bereits vorige Woche im Blog-Beitrag Sicherheitsmeldungen 5. Mai 2020 einen kurzen Hinweis im Abschnitt 'Technische Werke Ludwigshafen gehackt' gebracht. Dort hieß es aber lediglich, dass Hacker Zugriff auf die Geschäfts- und Kundendaten des Versorgers Technische Werke Ludwigshafen (TWL) hatten. In diesem heise-Artikel wurde, unter Berufung auf den Versorger, berichtet, dass Unbekannte unter anderem Zugriff auf Kundendaten wie Namen, Adressen und Kontoangaben gehabt hatten.

Der kommunale Versorger habe die Ermittlungsbehörden informiert und ein Cybersecurity-Unternehmen eingeschaltet. Den Zeitpunkt des Angriffs und den Umfang der kopierten Daten wollte das Unternehmen unter Hinweis auf laufende Ermittlungen nicht nennen.

Die Stellungnahme der TWL

In dieser undatierten Stellungnahme schreiben die Technische Werke Ludwigshafen (TWL), dass man, trotz in der Vergangenheit getroffener massiver Sicherheitsvorkehrungen, Ziel eines erfolgreichen Hackerangriffs geworden sei.

Trotzdem ist es einer noch unbekannten Hackergruppe gelungen, in das Netz des Energieversorgers Technische Werke Ludwighafen AG, TWL, einzudringen. Unmittelbar nach Bemerken des Angriffs seien von TWL Gegenmaßnahmen eingeleitet worden. Unter anderem wurden Server, auf denen verdächtige Aktivitäten verzeichnet wurden, umgehend abgeschaltet.

Die Versorgungssicherheit der Ludwigshafener Bürger und der Kunden des Unternehmens war und ist sichergestellt. Das Unternehmen hat sofort die zuständigen Ermittlungsbehörden informiert sowie ein Cyber Security Unternehmen eingeschaltet. Die Ermittlungen laufen. Aufgrund der laufenden Ermittlungen der zuständigen Behörden wurden keine weiteren Angaben zum Verlauf und Umfang des Hackerangriffs gemacht.

Diebstahl von Daten

Aufgrund der unmittelbar eingeleiteten Gegenmaßnahmen konnte der Diebstahl von Daten unterbrochen, aber nicht vollständig verhindert werden. Den Hackern ist es gelungen, unter anderem Kundendaten wie Namen, Adressen und Kontodaten sowie Geschäftsdaten zu erbeuten.

Das Unternehmen bittet aus diesem Grund seine Kunden, ihre Konten regelmäßig zu prüfen und bei ungewöhnlichen Kontobewegungen Kontakt mit ihrer Bank aufzunehmen. Passwörter, die in der Kommunikation mit TWL, beispielsweise beim Zugang zum Kundenportal, verwendet werden, sollten geändert werden.

Clop Ransomware-Gruppe veröffentlicht Daten

Mir ist über meinen Twitter-Kanäle aber die nachfolgenden Information von einem Sicherheitsforscher zugegangen. Danach hat die Clop Ransomware-Gruppe den Ludwigshafener Versorger erfolgreich angegriffen. Der Name der Ransomware kommt von der Dateinamenerweiterung .CLOP, die für verschlüsselte Dateien verwendet wird. Trend Micro hat hier noch Informationen zur CLOP-Ransomware. Die Ransomware ist zumindest in Teilen bekannt und wird von Virenscannern angezeigt.


Anzeige

Bekannt geworden ist dies, weil die Ransomware-Gruppe über 30.000 Datensätze mit sensitiven Kundendaten veröffentlicht hat. Darunter befinden sich die Namen und E-Mail-Adressen der Kunden, deren Tarife sowie die Verrechnungskontennummern. Offensichtlich ist die Gruppe hinter der Ransomware dazu übergegangen, die Dateien vor dem Verschlüsseln auf eigene Server zu spiegeln. Ich schließe aus der Veröffentlichung der Daten, dass die TWL nicht auf die Erpressung eingegangen und kein Lösegeld gezahlt haben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Clop Ransomware bei Technische Werke Ludwigshafen

  1. Robert sagt:

    Scheint bei der IT wie in der hiesigen Automobilindustrie zu lange auf Tradition gesetzt und nun knallt es an allen Ecken und Enden.

  2. woodpeaker sagt:

    Die TWL sind ein klassischer öffentlicher Dienst-Drückeberger-Verein.
    Situationsbeschreibung einer klassischen kleinen Baustelle:
    4 Mann vor Ort, davon arbeitet einer und die Restlichen schauen zu. Feierabend halbe Stunde vor der offiziellen Zeit.
    Und genauso verträumt ist deren IT aufgebaut.
    Wirklicher Schutz kann also nicht funktionieren, da bei denen das klassische Beamtendenken vorherrscht.
    Aber dieses Szenario ist bei fast allen Versogern anwendbar.

  3. Thierry sagt:

    @woodpeaker: Das würde ich nicht mehr heute so beurteilen, denn ebenso bei privaten Unternehmen passiert es, dass ein Anwender in einem Fall tapt. Also, es hängt immer davon ab, wie die Anwender im Unternehemen ob staatlich oder privat geschult und zum Thema Datensicherheit und -Sicherung sensibilisiert werden.

    • Bernard sagt:

      Es hängt nicht nur von der Schulung ab, sondern auch davon, ob diese Leute willens sind, die Neugier im Zaum zu halten.

      Wir haben ebenfalls Leute, die hartnäckig auf alles klicken, selbst wenn ein Betrugsversuch offensichtlich ist.

      • Paul sagt:

        "Wir haben ebenfalls Leute, die hartnäckig auf alles klicken, selbst wenn ein Betrugsversuch offensichtlich ist.
        "
        Das ist das Problem des Management und der Mitarbeiterführung.
        Im o.g. Beispiel: "Inneren Kündigung"

        Sonst auch gerne genommen:
        "Wenn ich jetzt drauf klicke, das ausführen von Makros erlaube habe ich mindestens eine Woche bezahlten Freistellung weil die IT alle Rechner neu aufstezn soll.
        Warum sollte ich nicht klicken? Sieht doch sonst ganz plausibel aus.
        "

        Der Dienstleister:
        "Hm, warum sollte ich den Mitarbeitern verbieten Makroausführung zu erlauben? Das sichert doch meinen Umsatz, wenn ich hier ein paar neue Kisten hinstellen soll damit der Laden wieder läuft.
        "

        Der Antivirushersteller:
        "Warum sollte ich den perfekten Algorithmus entwickeln?
        Regelmäßig ein paar falsch Alarme machen unseren Namen bekannt und zeigen was wir können. Und ab und zu mal einen Virus durchlassen, sonst verlieren die Virusprogrammierer ja die Lust."

        win-win-win?

  4. Paul sagt:

    Interessant könnten die Daten schon sein…
    In früheren Zeiten was es durchaus nicht ungewöhnlich, das der Bürgermeiter von den "Städitischen Werken" Strom und Wasser zu sondertarifen bekam. Auch der Chefredaktuer des örtlichen Käseblatts konnte sich über niedrige Stromrechungen freuen.
    Wie gesagt: Das soll früher mal so gewesen sein. In sofern können solche Daten heute ja ruhig in die Freiheit entlassen werden. (Ist natürlich nicht gut. Niemand möchte seine Kontonummer im Freien sehen. Es gibt Banden, die Buchen dann 40 Euro ab.
    Fällt kaum auf, aber 300000 mal 40 Euro für nix kassieren?)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.