Die Ransomware-Gruppe Rhysida hat fast zwei Terabyte an internen Daten veröffentlicht, die von der Gemini Group gestohlen wurden, einem in Michigan ansässigen Hersteller, der Werkzeuge und Materialien an große Automobilunternehmen liefert. Das Leck folgt auf eine Lösegeldfrist, die Ende Oktober abgelaufen ist und sensible Aufzeichnungen von Mitarbeitern und Kunden offenlegt.
Rhysida listete die Gemini Group auf seiner Leak-Website auf und veröffentlichte etwa 1,9 Terabyte an Daten mit mehr als 1,7 Millionen Dateien. Zu dem gestohlenen Material gehören Berichten zufolge Gehaltsabrechnungen, Versicherungsdokumente, Kundendatenbanken, interne Kommunikation und Produktionsberichte. Sicherheitsforscher bestätigten, dass der Datensatz Finanzdetails, persönliche Informationen von Mitarbeitern und Unternehmensdokumente enthält, die interne Abläufe und Preisstrukturen offenlegen könnten.
Die Gemini Group betreibt 18 Standorte in den Vereinigten Staaten und Mexiko und beschäftigt mehrere tausend Mitarbeiter. Das Unternehmen bestätigte, dass es sich um einen Cybersicherheitsvorfall handelte, machte aber keine genauen Angaben darüber, wie sich Angreifer Zugang verschafft haben, ob Ransomware eingesetzt wurde oder ob eine Lösegeldforderung gezahlt wurde. Das Unternehmen sagte, dass es mit Cybersicherheitsexperten und Strafverfolgungsbehörden zusammenarbeitet, um das Ausmaß des Verstoßes zu bestimmen.
Das Datenleck, das am 31. Oktober veröffentlicht wurde, wirft erhebliche Bedenken hinsichtlich des Datenschutzes und des Geschäfts auf. Dateien, die online zirkulieren, scheinen Namen von Mitarbeitern, Berufsbezeichnungen, Einstellungsdaten, Geburtsdaten, Adressen, Sozialversicherungsnummern, Gehaltsinformationen und Krankenversicherungsdetails zu enthalten. Einige Dokumente verweisen auch auf Bestellungen und Lieferantenkommunikationen, die Geschäftsstrategien und -beziehungen offenlegen könnten.
Cybersicherheitsanalysten sagen, dass die Offenlegung solch detaillierter persönlicher und unternehmerischer Daten langfristige Folgen haben könnte. Persönliche Identifikatoren wie Sozialversicherungsnummern können nicht einfach geändert werden, was ein ständiges Risiko für Identitätsdiebstahl und Finanzbetrug darstellt. Gleichzeitig könnte die Veröffentlichung kommerzieller Daten es Wettbewerbern ermöglichen, die Dynamik der Lieferkette oder die Preisgestaltung zu untersuchen, was möglicherweise den Geschäftsbeziehungen der Gemini Group schaden könnte.
Rhysida zielt auf industrielle Lieferketten ab
Rhysida, eine Ransomware-Operation, die erstmals im Jahr 2023 beobachtet wurde, wurde mit zahlreichen Angriffen auf Produktions-, Gesundheits- und Bildungseinrichtungen in Verbindung gebracht. Die Gruppe verschafft sich in der Regel Zugang über kompromittierte Anmeldeinformationen oder anfällige Fernzugriffssysteme, bevor sie Daten stiehlt und mit der Veröffentlichung droht. Experten glauben, dass sich Rhysida auf Unternehmen mit kritischen Abläufen konzentriert, bei denen Ausfallzeiten die Opfer zur Zahlung von Lösegeldern zwingen könnten.
In diesem Fall scheinen die Angreifer dem Datendiebstahl Vorrang vor einer Systemstörung eingeräumt zu haben. Das Durchsickern großer Mengen an Dokumenten deutet auf einen organisierten Exfiltrationsprozess hin, der darauf abzielt, Reputationsschäden und finanziellen Schaden zuzufügen. In der Ankündigung der Gruppe wurde die Gemini Group als Teil einer Kampagne beschrieben, die auf sogenannte “strategische Industriebetreiber” abzielt, eine Behauptung, die mit den jüngsten Vorfällen übereinstimmt, an denen andere nordamerikanische Hersteller beteiligt waren.
Sicherheitsanalysten weisen darauf hin, dass Fertigungs- und industrielle Liefernetzwerke aufgrund ihrer miteinander verbundenen Systeme und der Abhängigkeit von Drittanbietern zu wichtigen Zielen geworden sind. Ein Verstoß bei einem Lieferanten kann dazu führen, dass vertrauliche Informationen über mehrere Unternehmen hinweg offengelegt werden, was das Ausmaß jedes Angriffs erhöht. In Sektoren wie der Automobilproduktion, in denen die Koordination der digitalen Lieferkette unerlässlich ist, gehen die Risiken über ein einzelnes Unternehmen hinaus.
Die Sicherheitsverletzung der Gemini Group zeigt, wie Angreifer Lieferanten zunehmend als Tore zu größeren Netzwerken betrachten. Industrielle Anbieter speichern häufig Kundendokumentationen, Design-Blueprints und Betriebsdaten, die sowohl für kriminelle als auch für staatsnahe Bedrohungsakteure wertvoll sind. Experten warnen davor, dass diese Netzwerke als kritische Infrastrukturen behandelt werden müssen, die die gleichen Cybersicherheitsstandards erfordern wie große Hersteller.
Das Unternehmen hat sich nicht öffentlich zur Echtheit der durchgesickerten Dateien geäußert, aber Cybersicherheitsforen, die Proben überprüft haben, berichten, dass die Daten legitim erscheinen. Die Gemini Group arbeitet weiterhin mit externen Ermittlern zusammen, während betroffenen Mitarbeitern geraten wird, Kredit- und Finanzkonten zu überwachen und auf Phishing-Versuche zu achten, bei denen gestohlene Informationen verwendet werden.
Der Vorfall unterstreicht die wachsende Überschneidung zwischen Datenschutzverletzungen und Ransomware-Kampagnen in der Industrie. Selbst wenn die Systeme betriebsbereit bleiben, kann der Diebstahl vertraulicher Informationen schädlich genug sein, um die Geschäftskontinuität zu stören. Für Unternehmen wie die Gemini Group besteht die Herausforderung nun darin, den digitalen Betrieb über ein breites Anbieternetzwerk zu sichern und gleichzeitig den Partnern zu versichern, dass die Datenintegrität wiederhergestellt werden kann.