Ransomware: TWL verweigerte Lösegeldzahlung – Angreifer leakten Kundendaten

Ransomware-Gangster setzten beim Erpressen der Technischen Werke Ludwigshafen erfolglos auf direkten Kontakt zu Firmenkunden. Sensible Daten landeten im Netz.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 193 Beiträge

(Bild: Photon photo / Shutterstock )

Von

Behörden, öffentliche Einrichtungen und Unternehmen weltweit kämpfen mit den Folgen von Ransomware-Infektionen. Diejenigen, die angesichts augenfälliger Schäden offensiv mit dem Thema umgehen (müssen), nutzen häufig die vage Umschreibung "Hackerangriff", bevor nach und nach weitere Details bekannt werden.

Im Falle der Technischen Werke Ludwigshafen (TWL) wurde am heutigen Mittwoch aus einem Hackerangriff, über den heise online Anfang letzter Woche berichtete, offiziell ein Ransomware-Vorfall, bei dem vertrauliche Kundendaten gestohlen wurden. Das Unternehmen habe die Zahlung des geforderten Lösegeldes – eines Betrags im zweistelligen Millionenbereich – abgelehnt; daraufhin habe die Ransomware-Gang sämtliche Datensätze im Darknet veröffentlicht.

"Das Unternehmen geht derzeit davon aus, dass alle seine Kunden und Geschäftspartner betroffen sind", heißt es in einer aktuellen Mitteilung. Diese würden nun durch TWL per Brief oder E-Mail "persönlich und individuell informiert". Nach eigenen Angaben versorgt TWL rund 100.000 Haushalte in Ludwigshafen und dem gesamten Bundesgebiet mit Energie und Trinkwasser.

Nach eigenen Angaben entdeckte TWL am 20. April 2020, dass aktiv Daten von den Systemen gestohlen wurden; dies sei umgehend unterbunden worden. Allerdings habe sich später herausgestellt, dass der Erstzugriff der Kriminellen bereits Mitte Februar über einen infizierten E-Mail-Anhang erfolgte, der "von den technischen Abwehrsystemen nicht erkannt wurde". Offenbar diente hier also doch kein klassischer "Hackerangriff", sondern eine (oft per Mail initiierte) Schadcode-Infektion als Einfallstor.

Insgesamt seien über 500 GByte Daten gestohlen wurden, darunter nach aktuellem Ermittlungsstand "personenbezogene Daten wie Name, Vorname und Anschrift, die E-Mail-Adresse oder Telefonnummer, sofern sie bei TWL hinterlegt ist, Angaben zum gewählten Tarif und, sollte TWL eine Einzugsermächtigung erteilt worden sein, die Bankverbindung". Am 30. April habe die Ransomware-Gang das Unternehmen kontaktiert und mit der Erpressung begonnen.

Auf den ersten Blick ungewöhnlich ist, dass die Ransomware-Gang TWL offenbar nicht mit verschlüsselten Daten erpresste, denn die Verschlüsselung habe das Unternehmen nach eigenen Angaben verhindern können. Vielmehr nahm die Gang direkten Kontakt zu Unternehmenskunden auf, um den Vorfall öffentlich zu machen und TWL auf diese Weise unter Druck zu setzen. "Seit dem 11. Mai 2020 werden die Kunden des Unternehmens von den Kriminellen per E-Mail angeschrieben, in denen diese TWL mangelnde Kooperation und Fehlverhalten vorwerfen (...)." Angesichts der Zahlungsverweigerung hätten die Erpresser die Daten schließlich veröffentlicht.

Tatsächlich sind solche "Public Shaming"-Strategien schon seit längerer Zeit nichts Ungewöhnliches mehr. Sicherheitsexperten betonen immer wieder, dass eine Infektion mit Ransomware immer auch als Datenleck betrachtet und als solches behandelt werden sollte. Von einer Zahlung raten sie grundsätzlich ab, da dies, wie auch TWL richtig anmerkt, kriminelle Machenschaften weiter befeuert und andererseits "erfahrungsgemäß nicht zu einem Stopp der Datenverbreitung im Internet" führt.

Eine israelische IT-Sicherheitsfirma namens "Under the Breach" hatte bereits am vergangenen Montag via Twitter auf veröffentlichte TWL-Daten hingewiesen. Anders als TWL nennt der Tweet eine konkrete Ransomware namens "Clop", die das TWL-Netz befallen habe.

Screenshots eines Darknet-Posts im Tweet von Under the Breach sollen die Echtheit der Information untermauern. Darin nennen die Erpresser die (mit der Information von TWL übereinstimmenden) Zahl von 500 GByte Daten. Das Leak enthalte außerdem 18.471 E-Mail-Adressen und insgesamt 36.411 Kundendatensätze in einer Excel-Tabelle.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Angesprochen auf den Tweet und den enthaltenen Hinweis auf "Clop", verwies eine TWL-Sprecherin gegenüber heise Security lediglich auf die Informationen aus der Pressemitteilung. Auch auf der Website von Under the Breach finden sich keine weiteren Informationen und Erklärungen zum "Clop"-Verdacht. Somit ist unklar, ob es sich hier lediglich um Spekulationen handelt.

(Bild: Under the Breach via Twitter)

TWL hat die zuständigen Polizei- und Datenschutzbehörden über den Vorfall informiert. Die Ermittlungen dauern. Angesichts der Gefahr eines Missbrauchs der geleakten Daten sollten Betroffene die Sicherheitshinweise von TWL befolgen:

Aus diesem Grund bittet TWL seine Kunden,

- ihre Konten regelmäßig zu prüfen und bei ungewöhnlichen Kontobewegungen unverzüglich Kontakt mit Ihrer Bank aufzunehmen,
- Passwörter, die in der Kommunikation mit TWL bspw. beim Zugang zum Kundenportal verwendet werden, zu ändern,
- verdächtige E-Mails von unbekannten Absendern sofort zu löschen. Keinesfalls sollten Links oder Dateianhänge in solchen Mails geöffnet werden.

(ovw)