Cyberangriff auf Tanklogistiker Oiltanking angeblich mit Ransomware BlackCat

Redaktion Silicon,

BlackCat wird in einem internen Bericht des BSI erwähnt. Möglicherweise besteht eine Verdingung zu BlackMatter und DarkSide. BlackCat ist vor allem in den USA und Deutschland aktiv.

Die IT-Systeme des Tanklogistikers Oiltanking wurden offenbar durch einen Angriff mit der Ransomware BlackCat lahmgelegt. Das geht zumindest aus einem internen Bericht des Bundesamts für Sicherheit in der Informationstechnik hervor, der dem Handelsblatt vorliegt. Die Malware soll zudem über einen zuvor unbekannten Infektionsweg in die Systeme des Unternehmens gelangt sein.

“Sicherer Betrieb der Anlagen gewährleistet”

Eine Sprecherin von Oiltanking wollte eine Beteiligung der BlackCat-Gruppe nicht bestätigen. Sie erklärte, es seien umgehend Maßnahmen zur Verbesserung der Sicherheit von Systeme und Abläufen eingeleitet worden. An einer umfassenden Untersuchung seien zudem externe Spezialisten und die zuständigen Behörden beteiligt. Auch sei ein sicherer Betrieb aller Anlagen gewährleistet, diese arbeiteten aber nur mit einer eingeschränkten Kapazität.

Der Sicherheitsanbieter Emisoft geht indes davon aus, dass es eine Verbindung zwischen BlackCat und der Ransomware DarkSide gibt, deren Hintermänner im vergangenen Jahr den US-Pipelinebetreiber Colonial Pipeline attackiert hatten. “Es ist wahrscheinlich, dass BlackCat ein Rebranding von BlackMatter ist, das wiederum ein Rebranding von Darkside war”, sagte Threat Analyst Brett Callow. “Informationen deuten darauf hin, dass die Personen, die hinter der Operation stehen, ihre Entwickler nach dem Fehler, der sie – und ihre Partner – mehrere Millionen gekostet hat, gefeuert haben. Neue Entwickler wurden rekrutiert und waren für die Entwicklung von BlackCat verantwortlich.”

BlackCat nimmt Windows- und auch Linux-Systeme ins Visier

Einer Analyse von Palo Alto Networks zufolge wird BlackCat seit November 2021 als Ransomware-as-a-Service betrieben. Die Schadsoftware selbst wurde in der Programmiersprache Rust verfasst. Ihren Partnern bietet die Gruppe die Erpressersoftware gegen Zahlung einer Provision von 10 bis 20 Prozent an.

Ins Visier nimmt BlackCat Windows- und auch Linux-Systeme. Die geforderten Lösegelder sollen bis zu 14 Millionen Dollar betragen. Die Cyberkriminellen sollen aber auch schon Rabatte von bis zu 9 Millionen Dollar angeboten haben, um eine Zahlung des Lösegelds bis zu einem bestimmten Zeitpunkt zu erreichen. Zahlungen wiederum können in Bitcoin und Monero geleistet werden.

Palo Alto Networks fand zudem heraus, das BlackCat vor allem in den USA aktiv ist. 41,7 Prozent der Opfer stammten bisher aus den Vereinigten Staaten. Deutschland ist indes mit einem Anteil von 16,7 Prozent betroffen.