Brenntag Hacker erpressten offenbar Tochterfirma von deutschem Chemiehändler

Die Hackergruppe Darkside soll erneut zugeschlagen haben: Ein US-Magazin berichtet von einem Angriff auf die Nordamerika-Tochter der Essener Chemiefirma Brenntag – sie soll Lösegeld in Millionenhöhe gezahlt haben.
Firmensitz von Brenntag in Essen: Betroffen ist die Nordamerika-Tochter

Firmensitz von Brenntag in Essen: Betroffen ist die Nordamerika-Tochter

Foto: Thomas Robbin / imagebroker / imago images

Die Meldungen über Cyberangriffe aus dem Umfeld der in Russland vermuteten Hackergruppe Darkside reißen nicht ab: Nachdem der Fall der US-Firma Colonial Pipeline weltweit Aufsehen erregte, gab Freitag der Elektronikkonzern Toshiba bekannt, in Europa Opfer von Darkside geworden zu sein .

Und ein Bericht des Online-Techmagazins »BleepingComputer«  dreht sich um eine weitere wichtige Firma: Brenntag, einen deutschen Chemiehändler, der nach eigenen Angaben mit mehr als 17.000 Mitarbeiterinnen und Mitarbeitern Weltmarktführer in der Distribution von Chemikalien und Inhaltsstoffen ist.

»BleepingComputer« schreibt, ein Angriff von Anfang Mai habe die Nordamerika-Tochter des Essener Unternehmens getroffen, die rund 5000 Menschen beschäftigt . Im Netzwerk jenes Tochterunternehmens seien Geräte verschlüsselt und Dateien abgefischt worden. Einer anonymen Quelle des Magazins zufolge kamen die Angreifer so an gut 150 Gigabyte an Firmendaten.

Brenntag beantwortet Nachfragen des SPIEGEL zum Artikel nur allgemein. »Brenntag wurde in Nordamerika mit einem Fall von eingeschränkter Informationssicherheit konfrontiert«, lautet die vollständige Antwort. »Brenntag North America hat daraufhin betroffene Systeme vom Netzwerk getrennt und umgehend Cybersicherheits- und Forensikexperten beauftragt, bei der Untersuchung zu unterstützen. Brenntag nimmt den Schutz seiner Systeme und Daten sehr ernst.«

Keine Details, aber auch kein Dementi.

Die Hackergruppe Darkside prahlt derweil offenbar damit, Geheimhaltungsvereinbarungen und chemische Formeln abgefischt zu haben, ebenso Dokumente aus der Buchhaltung. Das geht aus Screenshots hervor, die »BleepingComputer« in seinem Bericht zeigt. Zum Angriffsweg heißt es von den Hackern nebulös, der Zugang zum Firmennetzwerk sei »gekauft« worden.

Kriminelle mit eigener Hotline

Darkside gilt als hochprofessionell agierende Gruppe. Die Vereinigung von Cyberkriminellen betreibt laut IT-Sicherheitsfirmen sogar eine Support-Hotline, über die Opfer ihrer Erpressersoftware über die Höhe von Lösegeldzahlungen verhandeln können.

Bei Ransomware-Attacken werden auf den Zielcomputern oder in ganzen Netzwerken die Dateien und Laufwerke verschlüsselt. Ihren Opfern bieten die Täter an, ihnen gegen Zahlung eines Lösegelds (»Ransom«) einen Schlüssel zu übermitteln, mit dem sich die Dateien wieder entschlüsseln lassen.

Mittlerweile kommt es bei Ransomware-Attacken oft vor, dass die Angreifer zusätzlich Daten abfischen und damit drohen, diese zu veröffentlichen – als eine Art zweite Erpressung. In diese Kategorie fallen auch die Darkside-Attacken. Bei Colonial Pipeline etwa, dem Betreiber der größten US-Pipeline, soll Darkside an knapp 100 Gigabyte interner Daten gekommen sein.

Darkside bietet seine Erpressersoftware nach dem Prinzip Ransomware-as-a-Service (RaaS) Dritten als Dienstleistung an. Das bedeutet: Es muss nicht immer die Kerngruppe selbst sein, die einen Angriff durchführt – Darkside wird jedoch mit einem gewissen Prozentsatz beteiligt, wenn ein Angriff zu einer Lösegeldzahlung führt.

»Unser Ziel ist, Geld zu machen und nicht Probleme für die Gesellschaft.«

Statement von Darkside

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte dem SPIEGEL Anfang der Woche mit, die Schadsoftware von Darkside zähle zu den »prominenteren und fortschrittlicheren Ransomware-Varianten, die aktiv eingesetzt werden«. Darkside-Angriffe seien »nach hiesiger Einschätzung opportunistisch«, schrieb das BSI außerdem, »und richten sich nicht gezielt gegen ein Land oder einen Sektor«.

Nach dem Angriff auf Colonial Pipeline hatte es von Darkside selbst geheißen: »Unser Ziel ist, Geld zu machen und nicht Probleme für die Gesellschaft.«

Klar scheint derweil: Darksides kriminelles Geschäft funktioniert. Der Nachrichtenagentur Bloomberg zufolge hat Colonial Pipeline der Gruppe umgerechnet fünf Millionen Dollar Lösegeld bezahlt, und das angeblich nur Stunden nach der Attacke.

Auch im Fall von Brenntag soll am Dienstag angeblich viel Geld geflossen sein. »BleepingComputer« berichtet auf Basis seines Informanten sowie eines Blicks auf eine Bitcoin-Transaktion, dass ein Lösegeld in Höhe von umgerechnet 4,4 Millionen Dollar gezahlt worden sei.

Eine SPIEGEL-Nachfrage zum Thema Lösegeld ließ das Unternehmen allerdings unkommentiert.

Die Wiedergabe wurde unterbrochen.