Ransomware-Angriff auf 4 Standorte: ESX Hosts gerettet, Produktion gesichert
Branche: Maschinenbau und Fertigung / Mitarbeitende: +1000
Ein großflächiger Ransomware-Angriff traf gleich vier Werke eines Maschinenbauers – mit verheerender Wirkung. Selbst die Virtualisierungsebene (ESX) war betroffen. Nur durch schnelles Eingreifen und ein klar strukturiertes Incident-Management konnte der Produktionsbetrieb aufrechterhalten werden.
Vollverschlüsselung an verschiedenen Standorten
Der Angriff startete nachts über eine zentrale VPN-Schnittstelle und breitete sich automatisiert auf alle vier Standorte aus. In weniger als sechs Stunden waren sämtliche virtuellen Maschinen verschlüsselt – einschließlich der ESX-Hosts. Betroffen waren ERP, CAD-Server, Fileserver und Teile der Backup-Infrastruktur. Die Situation war brisant: Ein Produktionsstopp über Tage hätte Lieferausfälle in Millionenhöhe bedeutet.
Dank vorhandener Notfallkontakte und automatischer Alarme wurde sofort unser Incident Response Team alarmiert. Die IT-Abteilung hatte keinen Zugriff mehr – daher war eine vollständige Koordination über externe Systeme notwendig.
Eindämmung und Notfall-Containment
Ziel war es, die Schadsoftware einzudämmen und gleichzeitig die Produktionslinien in Betrieb zu halten. Unsere IT-Forensiker analysierten die Speicherabbilder direkt an der Quelle und entkoppelten die Netzwerksegmente der Fertigung über VLAN-Isolierungen. Parallel wurden lokale Steuerungen von zentralen Systemen getrennt und ein Notfallbetrieb für Maschinensteuerung über Standalone-Lösungen eingerichtet.
Dabei wurde mit äußerster Vorsicht gearbeitet: Jede weitere Aktion musste abgestimmt werden, um keine weiteren Systeme zu gefährden. Das Backuplogging ergab, dass bei zwei Standorten Datenfragmente verfügbar waren – diese wurden zur teilweisen Wiederherstellung genutzt.
Ohne die technische Präzision bei der Netzwerktrennung hätten wir tagelang gestanden. So liefen die Maschinen weiter.
CEO des betroffenen Unternehmens
Wie ist der Fall ausgegangen?
Obwohl ein Großteil der virtualisierten Server verschlüsselt war, konnte durch die schnelle Segmentierung der Produktionsnetze ein vollständiger Fertigungsstillstand verhindert werden. Die Werke arbeiteten eingeschränkt, aber stabil. Unsere Incident Responder konnten bei drei der vier Standorte über 80 % der Daten durch ältere Datenbestände in Kombination mit Blockanalyse, Fragment-Rettung und teilweise manueller Rekonstruktion wiederherstellen.
Der vierte Standort musste aufgrund irreversibler Schäden vollständig neu aufgesetzt werden. Doch auch dort wurde durch zwischenzeitliche Stand-alone-Steuerung eine Kernproduktion am Laufen gehalten.
Im Nachgang wurden die Netzwerkarchitektur und das Backup-Konzept grundlegend überarbeitet – inklusive Air-Gap-Sicherung für Steuerungssysteme und der Einführung eines frühzeitigen Erkennungssystems für lateral movement. Zudem wurden ESX-Hosts durch segmentierte Virtualisierungslösungen ersetzt, bei denen jede VM zusätzlich durch Snapshots geschützt ist. Das Unternehmen hat heute ein Incident-Team mit klarer Rollenverteilung – getestet, dokumentiert und einsatzbereit.
Weitere spannende Beiträge
-
- Cybercrime Storys
Phishing & Business Email Compromise bei regionalem Energieversorger
Zum BeitragEin regionaler Energieversorger betreibt zahlreiche Umspannwerke und Fernwärmenetze. Plötzlich kommt es in einer Abteilung intern zu Auffälligkeiten.
-
- Cybercrime Storys
Verhandlung mit einer Ransomware-Gruppe: Lösegeld & Bitcoin-Beschaffung
Zum BeitragEin regionales Netzwerk aus dem Medizinbereich wurde Opfer einer professionellen Ransomware-Attacke. Nach vollständiger Verschlüsselung der IT-Infrastruktur war schnelles Handeln gefragt. Die Verhandlung mit den Angreifern, die komplexe und zeitkritische Bitcoin-Beschaffung und die technische Wiederherstellung forderten das volle Spektrum forensischer und strategischer Kompetenz.
-
- Cybercrime Storys
Ein Ransomware-Angriff, der global 30 Standorte einer Reederei zu Fall bringen kann.
Zum BeitragAls eine international agierende Reederei Opfer eines raffinierten Angriffs wird, steht für die über 30 Standorte alles auf dem Spiel. Die ersten Niederlassungen sind bereits verschlüsselt, die Bedrohung breitet sich rasant von Asien bis nach Deutschland aus – und die Zeit läuft. Doch ein deutscher IT-Leiter handelt schnell und schaltet unser IT-Forensik-Team ein. Gerade noch rechtzeitig?
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
