Im September 2024 war Kawasaki Europe Ziel eines groß angelegten Angriffs durch die Ransomware-Gruppe RansomHub. Das für seine ausgeklügelten Angriffe bekannte Kollektiv von Cyberkriminellen übernahm die Verantwortung für den Cyberangriff und drohte damit, gestohlene sensible Unternehmensdaten offenzulegen, wenn kein Lösegeld gezahlt würde. Dieser Angriff zeigt eine zunehmende Tendenz unter Cyberkriminellen, renommierte Unternehmen ins Visier zu nehmen und Sicherheitslücken auszunutzen, um sensible Daten zu kompromittieren.
RansomHub tauchte im Februar 2024 erstmals in der Ransomware-Landschaft auf. RansomHub hat bereits über 250 Angriffe verzeichnet und ist ein wichtiger Akteur in der Cyberkriminalität, der laut Synetis im Jahr 2024 sogar an dritter Stelle steht. Die Gruppe arbeitet nach dem Modell Ransomware-as-a-Service(RaaS). Ihre Strategie beruht auf doppelter Erpressung: Sie verschlüsseln nicht nur die Daten, sondern drohen auch damit, die gestohlenen Informationen offenzulegen, wenn das Lösegeld nicht gezahlt wird.
Die von RansomHub anvisierten Branchen sind sowohl zahlreich als auch sehr unterschiedlich. Zu ihren jüngsten Coups gehört ein Angriff im Mai 2024 auf das berühmte Auktionshaus Christie’s. Der jüngste Angriff auf Kawasaki markiert eine neue Stufe der Cyberangriffe in Europa. Diese Ereignisse finden vor dem Hintergrund einer zunehmenden Professionalisierung der Cyberkriminalität statt.
Chronologie der Ereignisse: Angriff und erste Reaktionen von Kawasaki
Anfang September 2024 entdeckte Kawasaki Motors Europe (KME) eine Infiltration seiner Computersysteme und gab bekannt, Opfer eines Cyberangriffs geworden zu sein. Das Unternehmen erklärte, dass es eine gründliche Untersuchung durchführe, um das Ausmaß des Datenverlusts zu bewerten. Interne Sicherheitsteams und externe Cybersicherheitsexperten wurden mobilisiert, um die Bedrohung einzudämmen, die kompromittierten Systeme zu bewerten und kritische Betriebsabläufe wiederherzustellen. Kawasaki erklärte, dass der gesamte Geschäftsbetrieb, einschließlich der Händler, Drittanbieter und der Logistik, nicht von dem Vorfall betroffen gewesen sei.
Fast zeitgleich, und obwohl Kawasaki nicht spezifiziert hatte, welche Art von Cyberangriff es getroffen hatte, bekannte sich RansomHub zu dem Angriff und nahm das Unternehmen in sein Erpressungsportal im Dark Web auf. Die Cyberkriminellen behaupteten daraufhin, 487 GB an Daten aus den Netzwerken von Kawasaki zu besitzen. Die Drohung ist explizit: Wenn das Lösegeld nicht gezahlt wird, werden die gestohlenen Daten im Internet veröffentlicht, wodurch das Unternehmen erheblichen finanziellen und Reputationsrisiken ausgesetzt ist. Die enge Frist, die Kawasasaki gesetzt wurde, um den Forderungen der Hackergruppe nachzukommen, erhöht somit den Druck auf das Unternehmen, schnell zu reagieren. Am Wochenende machte RansomHub seine Drohung wahr, nachdem der Erpressungsversuch gescheitert war… und die Daten wurden veröffentlicht!
Auswirkungen auf die Infrastruktur von Kawasaki
Nach den von Hackread gesammelten Informationen umfassten die von RansomHub gestohlenen Dateien sensible Dokumente von Kawasaki , darunter Finanzinformationen, Bankunterlagen, Details zu Händlern und interne Kommunikation. Zu den offengelegten Dateien gehörten Verzeichnisse mit den Titeln „Dealer Lists“, „Financing Kawasaki“, „COVID“ und „Trading Terms“. Diese Ordner enthalten geschäftskritische Informationen für das Unternehmen, wobei die jüngsten Daten bis Anfang September 2024 reichen.
Dieses Datenleck setzt Kawasaki erheblichen Risiken aus, die sich insbesondere auf seine Geschäftsbeziehungen und sein öffentliches Image auswirken. Die sensiblen Finanzinformationen und die interne Kommunikation könnten auch seine langfristigen Geschäftsstrategien gefährden. Ein unbefugter Zugriff auf diese Dateien bringt das Unternehmen in eine besonders unangenehme Position gegenüber seinen Geschäftspartnern und Kunden. Diese könnten das Vertrauen in Kawasakis Fähigkeit, ihre Informationen zu schützen, verlieren…
Trotz dieses Eindringens wurden die Geschäftsabläufe von Kawasaki nicht direkt beeinträchtigt. Die Vertriebsnetze, Drittanbieter sowie die logistischen Prozesse blieben funktionsfähig.
Die Veröffentlichung der Daten könnte dennoch längerfristige Auswirkungen haben, insbesondere wenn diese Informationen von Konkurrenten ausgenutzt oder im Dark Web an andere böswillige Akteure verkauft werden.
Krisenmanagement und Maßnahmen von Kawasaki Europe
Nachdem der Einbruch Anfang September 2024 entdeckt worden war, reagierte Kawasaki Motors Europe (KME) schnell und engagierte interne Sicherheitsteams und externe Cybersicherheitsexperten, um das Ausmaß des Vorfalls zu bewerten und die kompromittierten Systeme zu sichern. Das Unternehmen leitete außerdem Maßnahmen ein, um kritische Betriebsabläufe wiederherzustellen und das Datenleck einzudämmen.
Ihre oberste Priorität bestand darin, die Bedrohung einzudämmen , potenzielle Verluste zu minimieren und gleichzeitig eine schnelle Wiederherstellung des Betriebs zu gewährleisten. Obwohl Kawasaki klarstellte, dass seine Geschäftsabläufe, einschließlich der Händler und Drittanbieter, nicht direkt von dem Angriff betroffen waren, zwang die Bedrohung durch die Offenlegung sensibler Daten das Unternehmen dazu, schnell und transparent zu reagieren.
Die Gruppe RansomHub ihrerseits fügte Kawasaki bald ihrem Erpressungsportal im Dark Web hinzu, wo sie einen Teil der 487 GB an Daten veröffentlichte, die sie angeblich exfiltriert hatte. RansomHub setzte Kawasaki eine strikte Frist zur Zahlung des Lösegelds und drohte damit, im Falle der Nichteinhaltung die gesamten Daten zu veröffentlichen. Trotz dieser Drohung zahlte das Unternehmen das Lösegeld jedoch nicht, was dazu führte, dass einige Daten öffentlich veröffentlicht wurden.
Angesichts dieser Situation verstärkte Kawasaki seine Bemühungen, seine Systeme zu schützen und weitere Angriffe zu verhindern. Das Unternehmen konzentrierte sich außerdem auf eine offene Kommunikation mit seinen Geschäftspartnern und Kunden, um die Auswirkungen des Vorfalls auf den Ruf zu begrenzen. Die größte Herausforderung für Kawasaki besteht nun weiterhin darin, die Auswirkungen dieses Datenlecks einzudämmen, insbesondere was den Schutz der offengelegten kritischen Informationen betrifft, die langfristige Auswirkungen auf seine Geschäftsabläufe und seine Wettbewerbsfähigkeit auf dem Markt haben könnten.
Analyse und Empfehlungen: Wie können zukünftige Angriffe verhindert werden?
Kawasakis Umgang mit dem Angriff weist auf mehrere kritische Punkte hin, um die Cybersicherheit großer Unternehmen gegenüber Ransomware zu verbessern. Um solche Angriffe in Zukunft zu verhindern, müssen Unternehmen unbedingt proaktive Strategien zur Überwachung und Erkennung von Eindringlingen anwenden. Die Einrichtung von Systemen zur Früherkennung von Eindringlingen kann in Verbindung mit einer kontinuierlichen Überwachung der Netzwerke verdächtiges Verhalten schnell erkennen, bevor es zu einer massiven Kompromittierung kommt. Regelmäßige Überprüfungen der IT-Infrastruktur stellen sicher, dass die vorhandenen Schutzmaßnahmen auf dem neuesten Stand sind und den neuesten Standards entsprechen.
Der Einsatz von Verschlüsselungslösungen für sensible Daten hilft auch, die Auswirkungen eines möglichen Lecks zu begrenzen, indem die gestohlenen Informationen für Angreifer unbrauchbar gemacht werden. Auch die Sensibilisierung der Mitarbeiter ist von entscheidender Bedeutung. Viele Cyberangriffe nutzen menschliche Fehler aus, insbesondere durch Phishing. Wenn Teams darin geschult werden, Phishing-Versuche zu erkennen und zu melden, kann dies eine wirksame Barriere gegen Ransomware-Angriffe darstellen. Das Beispiel von Kawasaki Europe zeigt, dass selbst die größten Unternehmen nicht vor Cyberkriminellen sicher sind und wie notwendig es ist, die Sicherheitsprotokolle zu stärken.
Der Angriff verdeutlicht, wie wichtig eine schnelle Reaktion und Transparenz gegenüber den Betroffenen ist. Die Einrichtung eines speziellen Teams für das Management von Cyberkrisen, das in der Lage ist, das Ausmaß des Eindringens schnell einzuschätzen und effektiv zu kommunizieren, ist für die Schadensbegrenzung von entscheidender Bedeutung. Die Vorbereitung auf das Krisenmanagement ist mehr denn je von entscheidender Bedeutung. Kawasaki hat bei seiner Reaktion auf den Angriff eine gewisse Widerstandsfähigkeit bewiesen. Eine gut vorbereitete Krisenkommunikationsstrategie, Pläne für die Notfallwiederherstellung und die Zusammenarbeit mit den zuständigen Behörden können die Folgen eines Cyberangriffs erheblich mildern.
Eine gute Lösung: Das Lösegeld nicht zahlen und die Daten wiederherstellen.
Schließlich wirft die Nichtzahlung des Lösegelds durch Kawasaki Fragen darüber auf, wie man am effektivsten auf Cyberangriffe mit Ransomware reagieren sollte. Obwohl es manchmal als die einfachste Lösung zum Schutz der Daten erscheint, den Forderungen der Kriminellen nachzugeben, ermutigt dies oft zu weiteren Angriffen. Eine Reaktion, die auf Widerstandsfähigkeit, Prävention und Abschreckung beruht, ist langfristig die beste Strategie.
Ebenfalls laut Hackread stellte Jason Soroko, Forschungsbeauftragter bei Sectigo, folgende Hypothese auf: „Die offizielle Erklärung von Kawasaki Motors Europe behauptete, das Unternehmen könne das Risiko des Datenverlusts eingehen, anstatt das Lösegeld zu zahlen, aber die Gruppe RansomHub veröffentlichte 487 GB angeblich gestohlener Daten. Dies legt nahe, beweist aber nicht, dass Kawasaki sich dafür entschieden hat, nicht mit den Angreifern zu verhandeln, sondern der Wiederherstellung des Systems und der Bereinigung der Daten Vorrang einräumt“.
Er wies auch darauf hin, dass Kawasakis Verhalten bei diesem Cyberangriff als Vorbild für andere Unternehmen dienen könnte. Anstatt mit den Cyberkriminellen zu verhandeln, sollten sich die Unternehmen darauf konzentrieren, ihren Betrieb wieder aufzunehmen und ihre Sicherheitssysteme gegen zukünftige Angriffe zu stärken.
Anstatt Lösegeld zu zahlen, sollten Sie dem Beispiel von Kawasaki folgen und sich für eine dauerhafte Lösung entscheiden. SOS Ransomware stellt Ihnen Experten zur Verfügung, die Ihre Daten nach einem Angriff wiederherstellen können, sodass Sie Ihre Geschäfte wieder aufnehmen können, ohne die Cyberkriminellen zu füttern…
