Foxconn, taiwanesischer Auftragsfertiger für Elektronik, hat jüngst bestätigt, am Standort Nordamerika einem Cyberangriff zum Opfer gefallen zu sein. Ein erfolgreicher Cyberangriff könnte globale Auswirkung auf die gesamte Fertigungsbranche haben, da es sich beim Unternehmen, das Partner von Apple und Nvidia ist, um einen der größten Hersteller elektronischer Produkte handelt. Ein Kommentar von Ismael Valenzuela, Vice President, Labs, Threat Research & Intelligence bei Arctic Wolf, zur Ransomware-Gruppe Nitrogen, die für den Cyberangriff auf die Fabrik in den USA des Großunternehmens verantwortlich ist, und der Vorgehensweise des Bedrohungsakteurs.
„Die Arctic Wolf Labs beobachtet die Ransomware-Gruppe Nitrogen bereits seit einiger Zeit. Die Gruppe nimmt vor allem kleine bis mittelgroße Unternehmen aus dem Bereich Produktion und Bauwesen ins Visier. Besonders deutlich lässt sich die Vorgehensweise der Gruppe anhand ihrer eigenen Leak-Seite erkennen, die ein äußerst konsistentes Opferprofil zeigt. Im Gegensatz zu groß angelegten Angriffen auf Konzerne wie Foxconn konzentriert sich Nitrogen in der Regel auf mittelständische Unternehmen, die im Bereich industrielle Abläufe und Lieferketten angesiedelt sind. Das sagt viel über ihre Arbeitsweise aus. Diese Unternehmen halten Lieferketten am Laufen, verfügen jedoch häufig nicht über die umfassenden Sicherheitsressourcen von Großkonzernen und stellen damit verlässliche und wiederholt angreifbare Ziele dar. Auffällig ist auch die Art, wie Nitrogen sich Zugang verschafft: Die Gruppe nutzt schadhafte Online-Anzeigen, um Nutzerinnen und Nutzer zum Download „trojanischer“ Software zu verleiten. Das deutet auf ein kontrollierteres und gezielteres Vorgehen hin, als dies bei opportunistischen Phishing-Kampagnen der Fall ist.
Sobald sich die Angreifer Zugriff verschafft haben, folgen sie einem konsistenten Vorgehensmuster: Sie stehlen zunächst Daten, bevor Systeme verschlüsselt werden, um auf mehreren Ebenen Druck auszuüben – durch Störungen operativer Prozesse ebenso wie durch die Androhung der Veröffentlichung sensibler Informationen. Die Liste der Opferunternehmen zeigt zudem klare Muster bei der Zielauswahl, insbesondere in industriellen und operativen Umgebungen. Hinzu kommen regionale Häufungen, die auf gemeinsame Dienstleister oder Zugangspunkte hindeuten könnten, beispielsweise Managed-Service-Provider, Remote-Access-Lösungen oder weit verbreitete Softwareplattformen, die mehrere Unternehmen miteinander verbinden. Insgesamt spricht vieles dafür, dass es sich bei Nitrogen nicht um eine opportunistisch agierende Gruppe handelt, sondern um eine Organisation mit klar definiertem Vorgehensmodell. Im Fokus stehen Unternehmen, die vergleichsweise leicht angreifbar sind, gleichzeitig aber wichtig sind für Lieferketten und Betriebsabläufe, um ausreichend Druck für Lösegeldzahlungen aufzubauen.“
#ArcticWolf
