RansomwareEnergiekonzern Encevo wird von der Hackergruppe „BlackCat“ erpresst

Auf dem internationalen Cybercrime-Parkett sind „BlackCat“ bei weitem keine Unbekannten. Zwar ist die Hackergruppe erst vor ein paar Monaten im November 2021 aufgetaucht, doch sie gehört zu den aktivsten „Ransomware“-Providern und scheint sich aus Elementen von Vorgängergruppen wie „REvil“ und „BlackMatter“ zusammenzusetzen. Ihr „Dienstleistungs-Schema“ ist denkbar einfach: Sie hacken sich über Schwachstellen wie zum Beispiel ungesicherte Verbindungen in eine Firma ein, klauen möglichst viele Daten, legen wichtige Funktionen lahm und drohen der Firma dann. Entweder diese zahlt ein Lösegeld oder die Daten werden veröffentlicht und die betroffenen Systemteile dauerhaft beschädigt. 

Das ist nun auch der Firma Encevo passiert. Das Energieunternehmen versorgt mit Creos und Enovos rund 300.000 Kunden in Luxemburg mit Strom und 49.000 mit Gas. In der Nacht vom 22. auf den 23. Juli wurde das Firmensystem von außen angegriffen und „eine gewisse Anzahl an Daten“ aus den informatischen Systemen abgezogen oder von den Cyberpiraten blockiert. Das schreibt das Unternehmen in einer Pressemitteilung auf seiner Webseite. Man habe derzeit nicht ausreichend Informationen, um alle betroffenen Personen zu kontaktieren. Man bitte deswegen die Kunden, noch nicht zu diesem Thema mit der Firma in Kontakt zu treten. Es werde ihnen aber nahegelegt, die Passwörter, die die Kunden für ihren Zugang zum System benutzen, zu aktualisieren. Verschiedene Dienste sind auch zwölf Tage nach dem Hack immer noch offline. Unter anderem das Enovos-Kundenportal ist immer noch offline (Stand: 2.8.2022 – 17.32 Uhr). 

Das Unternehmen hat eine Webseite (encevo.eu/en/encevo-cyberattack/) eingerichtet, um über die neuesten Entwicklungen des Cyberangriffs zu informieren. Dort hält die Firma sich aber bedeckt. Sie schreibt, dass die zuständigen Behörden – die Polizei, die nationale Datenschutzkommission (CNPD), das Luxembourg Institute of Regulation (ILR) und die zuständigen Ministerien – informiert worden seien. Außerdem versichert die Firma, dass die Versorgung mit Strom und Gas nicht betroffen sei. Doch Details zum Ausmaß des Hacks, ob eine Lösegeldforderung gestellt wurde, in welchem Umfang diese ausfällt, und wer dahinter steckt, das sucht man auf der Webseite vergeblich. 

Die Hackergruppe „BlackCat“, die auch als „AlphV“ bekannt ist, hat sich laut Medienberichten auf spezialisierten Portalen in einem Post im Darkweb zum Hack bekannt. Sie geben dort an, 150 GB an Daten von Encevo abgegriffen zu haben. Darunter Verträge, Übereinkünfte, Rechnungen, E-Mails und Kopien von Pässen. „Am Montag werden wir die Daten, die wir haben, veröffentlichen“, droht die Gruppe. Experten gehen davon aus, dass sie der luxemburgischen Firma ein Ultimatum für eine Lösegeld-Überweisung gestellt hat. In anderen Fällen hat die Gruppe bis zu 2,5 Millionen US-Dollar Lösegeld von anderen Firmen gefordert. Oft verlangen solche Ransomware-Gruppen, dass das Lösegeld in Bitcoin oder anderen Online-Währungen überwiesen wird. 

Die luxemburgische Staatsanwaltschaft bestätigt gegenüber dem Tageblatt, dass sie über den Angriff informiert, die Anzeige aber noch nicht eingetroffen sei. Man erwarte das Schreiben aber und habe die Kriminalpolizei bereits mit einer Ermittlung beauftragt. „Die ersten Schritte wurden bereits in die Wege geleitet.“ Deswegen werde weder die Polizei noch die Staatsanwaltschaft die Affäre weiter kommentieren, solange die Ermittlungen laufen. 

Dass auch Luxemburger Unternehmen Opfer solcher Attacken werden, ist nichts Neues. 2020 beispielsweise wurde die „Cactus Group“ von „REvil“, einem der Vorgänger von „BlackCat“, erpresst. Der damalige Hackerangriff führte unter anderem zu der vorübergehenden Schließung von drei Filialen in Windhof, Bonneweg und Merl. Wie Encevo derzeit hat auch Cactus S.A. damals Anzeige erstattet. 

Cyberkriminelle haben es besonders gerne auf Unternehmen abgesehen, die die wichtigen Elemente in der nationalen Infrastruktur darstellen – wie zum Beispiel Banken, Energie- oder Transportunternehmen. Denn werden diese lahmgelegt, ist der Druck groß, den Schaden zu begrenzen und zu beheben. Die Wahrscheinlichkeit ist also größer, dass die Unternehmen das Lösegeld am Ende zahlen. Laut einer Studie von IBM und dem Ponemon Institute beläuft sich der von Cyberangriffen auf wichtige nationale Infrastruktur entstandene Schaden weltweit auf 4,82 Millionen, allein in der Zeitspanne von März 2021 bis März 2022. 

Auch in den USA hat „BlackCat“ bereits zugeschlagen und ist auf dem Radar des FBI. Laut dem Webportal howtofix.guide rät die Behörde den betroffenen Unternehmen von der Bezahlung des Lösegelds ab. Denn dies sei keine Garantie, dass die gestohlenen Daten nicht doch veröffentlicht werden oder die Firma ein weiteres Mal von der Gruppe angegriffen wird. Unter anderem wurden schon die indische IT-Firma SRM Technologies, die Videospiel-Firmen Bandai Namco und Roblox, sowie ein südamerikanisches Industrieunternehmen Opfer von „BlackCat“s Ransomware. Auf den spezialisierten Webseiten werden über 700 Angriffe der Gruppe zugeschrieben. 

Die Gruppe scheint dabei einigen Vorgaben zu folgen. Laut Experten soll es „BlackCat“ verboten sein, Unternehmen von den Nationen des Gemeinschaft unabhängiger Staaten (GUS) anzugreifen. Dazu zählen Aserbaidschan, Armenien, Belarus, Kasachstan, Kirgistan, Moldawien, Russland, Tadschikistan, Turkmenistan und Usbekistan. Außerdem dürfen keine direkten Angriffe auf staatliche Institutionen, Bildungs- und Pflegeeinrichtungen durchgeführt werden. Würde dies passieren, werde man kostenfrei die Daten wieder freigeben, behauptet „BlackCat“ im Darkweb. 

Den internationalen Behörden fällt es schwer, den Cyberkriminellen das Handwerk zu legen. Im vergangenen Jahr beispielsweise wurde die Gruppe „BlackMatter“ nach einem Angriff auf die Stromversorgung Amerikas von Ermittlern unter Druck gesetzt. Die Gruppe verkündete daraufhin im Darkweb, ihre Aktivitäten einzustellen. Experten gehen davon aus, dass einzelne Mitglieder der Gruppe nicht mehr auf freiem Fuß waren oder ihre Aktivitäten aufgrund der Ermittlungen nicht mehr weiterführen konnten. Doch viele gingen davon aus, dass die Erpresser bald wieder aus dem Ruhestand zurück seien. Tatsächlich lassen viele Elemente der neuen „BlackCat“ Ransomeware darauf schließen, dass die neue Gruppe nur ein „Rebranding“ von „BlackMatter“ und „REvil“ ist. Unter anderem deutet die Verwendung der Programmiersprache „Rust“ und der Einsatz eines Programms namens „Fendr“ darauf hin. Dies wurde bisher nur von „BlackMatter“ für Erpressungsversuche benutzt.