Energieminister Claude Turmes hat sich in einer Antwort auf eine parlamentarische Frage erstmals zum Hackerangriff auf das Luxemburger Energie-Unternehmen geäußert. Encevo versorgt mit seinen Tochterunternehmen Creos und Enovos rund 300.000 Kunden in Luxemburg mit Strom und 49.000 mit Gas. Laut Claude Turmes seien die Luxemburger Behörden – darunter die Polizei, das nationale Regulierungsinstitut ILR, GovCert wie auch die nationale Datenschutzkommission – rechtzeitig von Encevo über den Hackerangriff informiert worden. Letztendlich hat die kriminelle Hackergruppe „BlackCat“ mit der gleichnamigen Ransomware 150 GB an Daten entwenden können.
BlackCat
Auf dem internationalen Cybercrime-Parkett sind „BlackCat“ bei weitem keine Unbekannten. Zwar ist die Hackergruppe erst vor ein paar Monaten im November 2021 aufgetaucht, doch sie gehört zu den aktivsten „Ransomware“-Providern und scheint sich aus Elementen von Vorgängergruppen wie „REvil“ und „BlackMatter“ zusammenzusetzen. Ihr „Dienstleistungs-Schema“ ist denkbar einfach: Sie hacken sich über Schwachstellen wie zum Beispiel ungesicherte Verbindungen in eine Firma ein, klauen möglichst viele Daten, legen wichtige Funktionen lahm und erpressen das Unternehmen anschließend. Entweder diese zahlt ein Lösegeld oder die Daten werden veröffentlicht und die betroffenen Systemteile dauerhaft beschädigt. (joe)
Auf Nachfrage des Energieministeriums habe Encevo bestätigt, dass die Analyse der entwendeten Daten noch laufe. „Dem aktuellen Wissensstand zufolge sind unter den geklauten Daten vor allem Informationen wie Vor- und Nachnamen, Adressen und falls gespeichert E-Mail-Adressen und Telefonnummern verschiedener Kundengruppen“, schreibt der Grünen-Minister in seiner Antwort. Auch sei das Ministerium darüber informiert worden, dass die Informationen im Darknet publiziert wurden. „Die Situation wird in Kooperation mit den zuständigen Behörden überwacht.“
Angaben des Energieministeriums zufolge sei die Schadsoftware der Hacker nicht von dem Antivirus-Programm von Encevo entdeckt worden. Eine Sicherheitslücke, an der Encevo Claude Turmes zufolge bereits arbeite. „Die Überwachung der informatischen Systeme wurde verstärkt und die Systeme aufgrund sicherer Backups wieder hochgefahren“, teilt Turmes mit. „Die Sicherheit beim Fernzugriff auf die Encevo-Plattformen wurde verstärkt und alle Passwörter abgeändert.“
Encevo habe dem Energieministerium gesagt, dass ihr informatisches System durch fortschrittliche Sicherheitssysteme und -prozesse geschützt sei, das durch ein rund um die Uhr bereites Sicherheitsbetriebszentrum und ein IT-Notfallteam ergänzt werde. „Diese Maßnahmen haben es erlaubt, schnell auf den Angriff zu reagieren“, meint Energieminister Turmes. Mittlerweile seien die Schwachpunkte auch behoben und es sei sichergestellt worden, dass sich keine Bedrohung mehr „in den Systemen versteckt“.
IT-Experte erklärt den Hackerangriff
Im Gespräch mit dem Tageblatt erklärt ein Sprecher des IT-Sicherheitsunternehmens Cyble, wie „BlackCat“ vorgeht. „BlackCat ist bekannt dafür, auf ungepatchte Sicherheitslücken wie beispielsweise Exchange-Server über einen Remote-Desktop-Server zuzugreifen.“ Dafür würden geklaute Zugangsdaten benutzt, die über Malware oder Logdateien anderer Hacker bezogen würden. Nach einem erfolgreichen Hack würden verschiedene Erpressungsmethoden angewandt werden, bei denen zuerst die Daten gestohlen und dann die betroffenen Rechner verschlüsselt werden. „Wenn das Opfer das Lösegeld nicht zahlt, werden die Daten veröffentlicht“, erklärt der Cyble-Experte.
Neu sei, dass die Gruppen die Daten im Internet durchsuchbar machten, erklärt der Experte gegenüber dem Tageblatt. Am 14. Juni hätte die Ransomware-Gruppe sogar eine Internet-Domain geschaffen, bei der nach Sozialversicherungsnummern, Geburtstagen und E-Mail-Adressen von Mitarbeitern einer gehackten Organisation gesucht werden konnte. „Die Angreifer haben das genutzt, um die betroffene Organisation zu verunglimpfen.“ Ebenfalls neu sei, dass E-Mail-Kommunikation der gehackten Unternehmen geleakt würden.
Nationale Infrastruktur als beliebtes Opfer
Cyberkriminelle haben es besonders gerne auf Unternehmen abgesehen, die die wichtigen Elemente in der nationalen Infrastruktur darstellen – wie zum Beispiel Banken, Energie- oder Transportunternehmen. Denn werden diese lahmgelegt, ist der Druck groß, den Schaden zu begrenzen und zu beheben. Die Wahrscheinlichkeit ist also größer, dass die Unternehmen das Lösegeld am Ende zahlen. Laut einer Studie von IBM und dem Ponemon Institute beläuft sich der von Cyberangriffen auf wichtige nationale Infrastruktur entstandene Schaden weltweit auf 4,82 Millionen, allein in der Zeitspanne von März 2021 bis März 2022.
Auch in den USA hat „BlackCat“ bereits zugeschlagen und ist auf dem Radar des FBI. Laut dem Webportal howtofix.guide rät die Behörde den betroffenen Unternehmen von der Bezahlung des Lösegelds ab. Denn dies sei keine Garantie, dass die gestohlenen Daten nicht doch veröffentlicht werden oder die Firma ein weiteres Mal von der Gruppe angegriffen wird. Unter anderem wurden schon die indische IT-Firma SRM Technologies, die Videospiel-Firmen Bandai Namco und Roblox, sowie ein südamerikanisches Industrieunternehmen Opfer von „BlackCat“s Ransomware. Auf den spezialisierten Webseiten werden über 700 Angriffe der Gruppe zugeschrieben.
Daat ass ërem typesch Turmes-Gelaaber, keen Kapp an keen Fouss.
Virwaat leien dei Donnéen net oofgekoppelt op Server, dei net an irgendenger Form mam Netz verbonnen as?
Sin dann och dei' Leit preveneiert gin vun deenen Daten geklaut sin gin ? Mengen net , well daat as deenen ganz egal.
wat e kabes, rem vum turmes! datenklau ass datenklau! le mal est fait !!! vu wegen behörden informiert! egal, wéini...