Gabelstapler-Hersteller Crown wohl seit 10. Juni 2024 Opfer einer Ransomware-Attacke

Sicherheit (Pexels, allgemeine Nutzung)[English]Es hat sich wohl bestätigt, was ich bereits vor einer Woche vermutet hatte: Der Gabelstapler-Hersteller Crown Equipment Corporation hat es einen Cyberangriff gegeben. Ransomware hat deren Produktion und Verwaltung weltweit stillgelegt. In den USA laufen die Beschäftigen Sturm, weil niemand etwas weiß und der Hersteller keine Löhne zahlt.


Anzeige

Was bisher bekannt war

Die Crown Equipment Corporation ist der weltweit fünftgrößte Hersteller von Gabelstaplern, Flurförderern und Hochregalförderern. Der Hauptsitz des US-Unternehmens befindet sich in New Bremen, Ohio, Vereinigte Staaten. Auch in Deutschland gibt es wohl ein Werk, und ein Leser hatte mich darauf aufmerksam gemacht, dass dort wohl massive IT-Probleme bestehen. Die Belegschaft sei nach Hause geschickt worden, wobei die Geschäftsleitung nicht damit herausrückte, was der Grund für die IT-Probleme sei.

crown.com is temporarily unavailable

Ich habe kurz recherchiert, die Webseite von Crown (crown[.]com) ist ebenfalls nicht erreichbar. Was sich dann sehr schnell herauskristallisierte:

  • Seit Montag, den 10. Juni 2024, steht die Produktion weltweit an allen Standorten des Gabelstaplerherstellers, also nicht nur in Roding (Landkreis Cham), Deutschland, sondern auch am Startort New Bremen, USA. Die Telefonzentrale des Unternehmens ist tot, der Hersteller also telefonisch nicht erreichbar.
  • Meine Quellen berichteten, dass alle IT-Systeme abgeschaltet seien und daher auch kein Zugriff auf Ersatzteilkataloge oder andere IT-Leistungen gebe. Die wenigen Angestellten, die noch arbeiten, versuchen sich mit Papier und Bleistift durchzuwursteln.
  • Vom Hersteller gab es keine offizielle Aussage des Management, was passiert ist. Im Internet auf reddit.com und auch in meinem Blog sammeln sich die Kommentare von US-Mitarbeitern, die einerseits im Unklaren gelassen werden, was passiert ist. Andererseits wird Arbeitern, die auf Stundenbasis beschäftigt sind, wohl seit dem 10. Juni 2024 für die ausgefallenen Schichten kein Lohn ausgezahlt – was einige Familien in finanzielle Bedrängnis bringt.

Ich hatte die bisherigen Information zum 13. Juni 2024 im Blog-Beitrag Cyber-Angriff auf Gabelstapler-Hersteller Crown: Webseiten down, was ist da los? aufbereitet sowie im englischsprachigen Pendant zusammengefasst. Allerdings war unbestätigt, was genau passiert war – ich habe auf einen Ransomware-Befall getippt – und es gab Stimmen, dass jemand eine Phishing-Mail geöffnet und ein Schadprogramm ausgelöst hat.


Anzeige

Ich hatte in internen Nachrichten gelesen, dass die IT damit begonnen habe, den Zugriff auf deren interne IT-Lösung 360 (basiert wohl auf der Microsoft Cloud und Office 365) begrenzt hat. Nur noch Firmengeräte können auf SharePoint, die Office-Anwendungen oder OneDrive zugreifen. Eine Quelle teilte mir zwar mit, sie habe vom Freund eines Freundes, der einen kennt, der mal im Werk war, gehört, dass die Probleme auf einen "Coding-Bug" zurückzuführen seien. Der habe die Crown 360-Lösung in den digitalen Orkus befördert – das Ganze hielt ich aber für eine Nebelkerze, die gezielt gestreut wurde (ich kennen die Kette, woher die Quelle die Infos bekam). Eine Anfrage meinerseits bei Crown auf deren Facebook-Seite ist seit einer Woche unbearbeitet.

Quellen bestätigen Ransomware-Infektion

Eine Quelle, die zwar nicht direkt für Crown Equipment in New Bremen arbeitet, aber über Kontakte zur Belegschaft verfügt, teilte mir gerade mit, dass das Crown-Management die Belegschaft offiziell informiert habe, dass man Opfer eines Ransomware-Angriffs geworden sei. In einer weiteren Nachricht schrieb diese Quelle, dass der Angriff "von Innen" erfolgte – ein Angestellter hat einem Unbefugten Zugriff auf das System gewährt.

Ob dies per Phishing (bei dem eine Schadsoftware installiert wurde oder bei dem Zugangsdaten für einen VPN-Zugang abgegriffen wurden) erfolgte, ist mir bisher nicht bekannt. Einem deutschen Nutzer auf Twitter fiel auf, dass alle VPN-Zugänge von Crown verschwunden waren, was darauf hindeutet, dass diese isoliert und vom Internet getrennt wurden.

Von meiner Quelle habe ich noch erfahren, dass die Angreifer einen erfolgreichen Ransomware-Angriff gefahren haben. Gerüchte, dass der Angriff erkannt wurde, die System dadurch automatisch heruntergefahren wurden, haben sich so nicht bestätigt. Da scheint eine Ransomware kräftig im IT-System gewütet und alles verschlüsselt zu haben. Auf reddit.com ist mir die Information einer Lösegeld-Forderung von 25 Millionen US-Dollar untergekommen – aber das ist unbestätigt.

Eine zweite Quelle, die bei Crown Equipment arbeitet, teilte mir vor Tagen nur mit, dass es bei Crown IT-Probleme geben. Die Telefone seien alle tot und Computer bzw. die IT funktionieren nicht. Die Quelle ist für die Ausgabe von Teilen für Serviceaufträge zuständig, und kann nun nicht mehr auf die Lagerstellen wo diese Teile liegen, zugreifen. Das Unternehmen hat keinen Überblick über den Lagerbestand und die Lagerstellen, ist aber in allen Abläufen vollständig digitalisiert. Selbst Ersatzteilkataloge liegen nur digital über die Crown-Cloud vor. Da steht alles.

Auch diese Quelle bestätigte, dass es wohl auch Zahlungsprobleme für Löhne gebe. Die Leute sollen Urlaub nehmen oder auf den Lohn für ausgefallene Schichten verzichten. Alle Kommunikation zwischen Crown und Mitarbeitern erfolgt über Voice-Mail oder telefonisch. Bei einem Telefonat letzten Dienstag (11. Juni) wurde der Quelle am Ende des Gesprächs mitgeteilt, dass sie arbeitslos sei – es fand aber wohl keine größere Massenkündigung statt. Wer sich arbeitslos meldet, bekommt in den USA wohl erst nach einer Karenzwoche Arbeitslosengeld.

Diese Quelle gab zudem an, dass die IT damit begonnen habe, alle Passwörter für Online-Zugänge zurückzusetzen. Für Montag, den 18.6.2024 war der Wiederanlauf des Betriebs avisiert und dann sollten die Mitarbeiter, die Lohnzahlungen bekommen sollten, wohl manuell ausgestellte Gehaltsschecks erhalten. Mein aktueller Stand ist, dass der Wiederanlauf inzwischen auf den 24. Juni 2024 (also kommende Woche Montag) verschoben wurde.

Zum 18. Juni 2024 hat auch diese Quelle bestätigt, dass die Belegschaft darüber informiert wurde, dass die IT des Unternehmens durch international agierende Cyberkriminelle gehackt worden sei. Das FBI ist inzwischen in den Fall eingeschaltet. Momentan versucht die IT die Systeme bis zum 24. des Monats wieder lauffähig zu bekommen. Ein öffentliches Statement des Crown-Managements ist mir persönlich bisher nicht bekannt.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Gabelstapler-Hersteller Crown wohl seit 10. Juni 2024 Opfer einer Ransomware-Attacke

  1. Anonymous sagt:

    Vernetzt alles, sagten sie.
    Das vereinfacht alles, sagten sie.
    Das spart Kosten, sagten sie.

  2. michael sagt:

    Tja, gegen WW3-SuperCyberSuperKriminelle kann man nix machen – Softwareproblem. Nutzt nur noch Microsoft haben die BWLer gesagt. Was man mittlerweile für einen Unterbau wie vlans, NAC, AVs, Absicherung der tenants, usw. benötigt, um mit dem Schrott aus Redmond noch arbeiten zu können ist recht amüsant.

    • Daniel sagt:

      Das ist einfach nur peinlich was Remond da abliefert. Aber viele Unternehmen haben sich in diese Abhängigkeit begeben und kommen nun nicht mehr raus.

  3. Daniel sagt:

    Also mit keine Löhne zahlen ist eine Frechheit, jedes vernüftige Unternehmen hat einen Notfallplan dass von der Bank zumindestens die Löhne wie im letzen Monat überwiesen werden können oder eben durchschnittliche Löhne. Man kann es im Nachhinein immer noch verrechnen.

  4. q sagt:

    Da wurde das Wort "Klaut" anscheinend wortwörtlich genommen. Mein Mittleid hält sich sehr in Grenzen.

  5. R.S. sagt:

    Tja, so etwas passiert, wenn man keine dezidierte Telefonanlage mehr hat.
    Dann geht nicht einmal mehr Telefon, wenn die IT zusammenbricht.
    Genau aus dem Grund haben wir noch eine alte Telefonanlage und ein Ersatz ist auch nicht geplant.

    Und das Geschimpfe auf Microsoft hilft hier auch nicht weiter.
    Das wäre bei einem Linuxsystem genauso passiert.
    Es sind mal wieder Strukturfehler im Netzwerk, das da gar nichts mehr geht.
    So ein Netzwerk gehört segmentiert, so das ein Ransomvorfall in einem Segment die anderen Netzwerksegmente nicht betreffen kann.
    Und so etwas wie die Buchhaltung und Lohnbuchhaltung gehört zwingend in ein separates Netzwerksegment. Alleine schon deshalb, um es vor dem Zugriff aus dem übrigen Firmennetzwerk zu schützen.
    Und was das "ein Angestellter hat einem Unbefugten Zugriff auf das System gewährt" angeht:
    War das Absicht des Angestellten, dann wäre es Sabbotage.
    Oder hat er das unabsichtlich gemacht, z.B. weil er einen Mailanhang geöffnet hat oder auf einen Link in einer Mail geklickt hat?
    Dann ist es mangelnde Schulung des Angestellten im Umgang mit Emails.

    Und die Firma nutzt tatsächlich Onedrive?
    Die überlassen damit die dort hochgeladenen Daten Microsoft zur Nutzung.
    Siehe AGB:
    https[:]//www.microsoft.com/de-de/rechtliche-hinweise/nutzungsbedingungen
    Punkt "An Microsoft bereitgestelltes oder auf Microsoft-Websites eingestelltes Material".
    Ähnliche Passagen haben fast alle Cloudanbieter in den AGB.
    Das schließt im Grunde die Verwendung dieser Dienste komplett aus, wenn man mit diesen Bestimmungen nicht einverstanden ist.

    • Pau1 sagt:

      das mit der so oft beweinten dezidierten Telefonanlage hilft null.
      Ohne Computer daneben kannste eh außer akustisch mit den Schultern zucken.
      Du solltest mit der Telko aber schon geklärt haben, dass sie deinen SIP auf eine endlos Schleifen klemmen können, die die Lage und den Notfall Plan erklärt oder an ein Callcenter, was aber auch nix regeln kann.
      Vielleicht hilft bei kleinen Firmen auch ein Handy…

      • R.S. sagt:

        Naja, man könnte immerhin eine Ansage laufen lassen, die auf die Störung der IT hinweist und man deshalb leider handlungsunfähig ist.
        So etwas bekommt selbst eine Fritzbox hin, auch wenn die sonst eher nicht für Firmen geeignet ist.

    • Thomas sagt:

      Was ist denn eine "dezidierte" Telefonanlage? Eine energische Telefonanlage?

      Man sollte Fremdwörter, die man nicht kennt, besser nicht verwenden. Das Wort, das hier gemeint ist, lautet übrigens "dediziert" – also für einen bestimmten Zweck vorgesehen (gewidmet).

      • Norddeutsch sagt:

        amate! sine culpa, sine emendationem ?!

        Beim Tippen mache ich zig Fehler – und kann diese nicht einmal alle korrigieren. Einfach 'mal locker durch die Hose atmen.

  6. Pau1 sagt:

    Fremdwörter sind Glückssache.
    Danke für den Hinweis.
    Aber den meisten wird es aus dem Zusammenhang klar gewesen sein.

    • Norddeutsch sagt:

      ich mag Pau1's praxisorientierte und Fallbezogene Überlegungen. Solche Überlegungen braucht es zur Verbesserung der derzeitigen (mE "desaströsen IT-") Gesamtsituation. Mit Pau1 mag ich jederzeit nen Bier trinken. Wann denn?

    • Norddeutsch sagt:

      Das Beste will erwähnt werden: Lokale U.S. Presse "Mercer County Outlook" (Today's news now, not tomorrow) zitiert hier wohl für Mercer County (wiki) im fernen New Jersey unseren Günter mit seinem Blog ;-) Dieses Internetz, da kannste alles erleben, in diesem Internetz.

      Nachtrag: Aktive Blogger und Rentner im Internetz! Sehe gerade: Natürlich hat Günter selber bei denen vorher hier angefragt. Wow, den Rechercheumfang mag ich in 20 Jahren auch noch durchhalten ;-)

  7. wolf789 sagt:

    crown.com/de-de.html wieder online
    Unterseiten nicht getestet

    • Günter Born sagt:

      Ich hatte es aus den USA mitbekommen, die Artikel der Mittelbayerische sind halt alle hinter einer Paywall. In Bezug auf den Blog ist das Thema weitgehend durch. Die Firma hat erst nach über einer Woche einen Ransomware-Befall eingestanden, obwohl ich das früh kommuniziert hatte. Kein Wort an Kunden, Belegschaft oder gar die Öffentlichkeit. Und bisher wirklich keine Details, was wirklich passiert ist. In New Bremen sind einige Mitarbeiter "arg stinkig".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.