Der italienische Textilhersteller Fulgar prüft die Auswirkungen eines Ransomware-Angriffs, der das Unternehmen dazu zwang, sein nationales IT-Netzwerk abzuschalten und eine forensische Überprüfung seiner Systeme einzuleiten. Der Vorfall wurde am 3. November entdeckt, als Sicherheitsteams ungewöhnliche Aktivitäten feststellten, die auf ein Eindringen hindeuteten. Fulgar meldete den Angriff in einer öffentlichen Mitteilung und erklärte, dass es möglicherweise zu einem Zugriff auf interne Daten gekommen sei, obwohl das Unternehmen noch keine konkreten Fälle von Datenoffenlegung bestätigt hat.
Die Ransomware-Gruppe RansomHouse übernahm später die Verantwortung und veröffentlichte Fulgars Namen auf ihrer Leak-Seite. Nach Angaben der Gruppe begann sie am 31. Oktober, die Systeme des Unternehmens zu infiltrieren, bevor sie die Behauptung Mitte November öffentlich machte. Die Angreifer veröffentlichten eine Reihe von Beispieldateien, die anscheinend interne Finanzinformationen und Korrespondenz enthalten. Die Absicht hinter der Veröffentlichung solcher Proben besteht darin, die Opfer zu Verhandlungen zu zwingen, indem nachgewiesen wird, dass während des Eindringens Daten gestohlen wurden.
Fulgar produziert synthetische Garne und technische Fasern für eine Vielzahl von globalen Marken. Die Materialien werden in Sportbekleidung, Dessous, Strumpfwaren und technischen Geweben verwendet, und das Unternehmen betreibt Niederlassungen in Italien, Sri Lanka und der Türkei. Da zu den Kunden international anerkannte Unternehmen wie Adidas und H&M gehören, hat der Angriff die Aufmerksamkeit von Sicherheitsanalysten auf sich gezogen, die Vorfälle innerhalb globaler Lieferketten verfolgen. Eine Unterbrechung bei einem Lieferanten dieser Größenordnung kann zu nachgelagerten Komplikationen für Marken führen, die auf eine kontinuierliche Materialproduktion angewiesen sind.
Fulgar sagte, es habe sofort seine Sicherheitsprotokolle eingeleitet, nachdem der Angriff entdeckt worden war. Das Unternehmen schaltete kritische Systeme ab, kontaktierte externe Cybersicherheitsspezialisten und informierte die lokalen Behörden. In der öffentlichen Erklärung wurde darauf hingewiesen, dass die langfristigen Auswirkungen des Vorfalls noch überprüft werden. Fulgar gab an, dass es daran arbeitet, das Ausmaß des Eindringens zu verstehen und festzustellen, ob persönliche oder kommerziell sensible Informationen exfiltriert wurden.
In der frühen Phase der Untersuchung sind die Details zu den betrieblichen Auswirkungen begrenzt. Fulgar hat nicht angegeben, ob die Produktionsaktivitäten in einem seiner Werke von der Abschaltung des IT-Netzwerks betroffen waren. Das Unternehmen hat sich darauf konzentriert, das Eindringen einzudämmen und die Systeme kontrolliert wiederherzustellen, um weitere Schäden oder Datenverluste zu verhindern. Sie wies auch darauf hin, dass der Betrieb der Kunden während der Untersuchung fortgesetzt werde, ohne jedoch anzugeben, ob es zu Verzögerungen oder Unterbrechungen kommen könnte.
Von Angreifern gepostete Daten und die potenziellen Auswirkungen auf das Geschäft
Die von RansomHouse veröffentlichten Beispieldateien enthalten Tabellenkalkulationen, in denen Finanzunterlagen, die Kommunikation mit externen Partnern und verschiedene Rechnungen aufgeführt sind. Obwohl die Ermittler die Echtheit jedes Dokuments nicht öffentlich bestätigt haben, stimmt das von der Gruppe veröffentlichte Material mit gängigen Datentypen überein, die bei ähnlichen Angriffen verwendet wurden. Solche Informationen könnten Einblicke in Preisstrukturen, Produktionspläne oder strategische Planung geben. In den Händen von Angreifern können diese Informationen auch verwendet werden, um gezielte Phishing-Versuche zu erstellen, die Mitarbeiter oder Partnerunternehmen bedrohen können.
Daten, die von Lieferanten durchgesickert sind, können für kriminelle Gruppen wertvoll sein, da sie einen Kontext bieten, der überzeugendere Imitationsversuche ermöglicht. Angenommen, Angreifer verstehen, wie ein Unternehmen intern kommuniziert oder welche Arten von Dokumenten es mit seinen Kunden austauscht. In diesem Fall sind sie besser in der Lage, betrügerische Nachrichten zu entwickeln, die zu zusätzlichen Kompromittierungen führen können. Dieses Risiko erstreckt sich über Fulgar hinaus auf jede Organisation, die an der routinemäßigen Kommunikation mit dem Unternehmen beteiligt ist.
Der Fall Fulgar unterstreicht auch die wachsende Zahl von Cybervorfällen, von denen Hersteller in Europa und Asien betroffen sind. Industrieunternehmen arbeiten mit einer Mischung aus Produktionsdaten, Logistikinformationen und Finanzunterlagen, die für Angreifer wertvoll sein können. Wenn diese Details offengelegt werden, können sie Wettbewerbsinformationen offenlegen, die anderen Marktteilnehmern kommerzielle Vorteile verschaffen könnten. Sie können Angreifern auch Einblick in Schwachstellen geben, die in einem breiteren Netzwerk von Partnern vorhanden sind.
RansomHouse ist dafür bekannt, Daten schrittweise zu veröffentlichen, wenn die Opfer den Forderungen nicht nachkommen. Die Gruppe wendet Drucktaktiken an, die im Laufe der Zeit eskalieren und oft zusätzliche Dateien freigeben, wenn keine Einigung erzielt wird. Dieses Muster führt zu anhaltender Unsicherheit für Unternehmen, die versuchen, den Vorfall zu bewältigen und gleichzeitig den Betrieb aufrechtzuerhalten.
Fulgar arbeitet weiterhin mit den Ermittlern zusammen, um die Folgen des Angriffs zu bewerten. Der Fall ist nach wie vor aktiv, und die Behörden haben keinen Zeitplan veröffentlicht, wann die vollständigen Ermittlungen abgeschlossen sein werden. Sobald mehr Informationen bekannt werden, wird der Vorfall wahrscheinlich als Teil eines breiteren Musters untersucht, das Hersteller mit internationaler Lieferkette betrifft.