douglasmack | shutterstock.com
Wie Reuters unter Berufung auf einen anonymen Insider berichtet, ist der texanische Ölkonzern Halliburton von einer Cyberattacke betroffen. Der Geschäftsbetrieb, respektive mehrere IT-Systeme und -Netzwerke, sind davon offenbar beeinträchtigt. Der Nachrichtenagentur zufolge habe der Konzern seine Mitarbeiter angewiesen, sich nicht mit internen Netzwerken zu verbinden. Inzwischen sind weitere Details zu dem Cyberangriff auf den weltgrößten Fracking-Konzern ans Licht gekommen.
Reputation verpflichtet…
Ein Sprecher von Halliburton bestätigte gegenüber Reuters zunächst lediglich, dass es zu einem “Problem” gekommen sei. Dessen Umfang und Auswirkungen würden derzeit in Zusammenarbeit mit “führenden, externen Cybersecurity-Experten” ermittelt. Ob es sich um eine Ransomware-Attacke handelt, konnte zu diesem Zeitpunkt nur gemutmaßt werden.
Das hat sich inzwischen geändert: Das Security-Portal Bleeping Computer (BC) konnte eine interne E-Mail von Halliburton einsehen, die an einen Zulieferer gerichtet war. “Diese E-Mail enthält eine Liste von Indicators of Compromise (IoCs) mit Dateinamen und IP-Adressen, die mit dem Angriff in Zusammenhang stehen und die die Kunden nutzen können, um ihr Netzwerk auf ähnliche Aktivitäten zu überprüfen”, schreibt BC-Autor Lawrence Abrams und fügt hinzu: “Einer dieser IoCs ist für ein Windows-Executable namens maintenance.exe, den Bleeping Computer nachweislich als RansomHub Ransomware Encryptor identifiziert hat.”
Laut einer aktuellen (und sehr detailreichen) Cybersecurity Advisory des FBI und der US-Cybersicherheitsbehörde CISA handelt es sich bei RansomHub um eine Ransomware-as-a-Service-Variante, die seit Februar 2024 bereits 210 Unternehmen diverser Branchen heimgesucht hat – darunter auch KRITIS-Betreiber in den Bereichen Manufacturing und Kommunikationsinfrastruktur. Dabei komme die sogenannte Double-Extortion-Technik zum Einsatz, wie es im Leitfaden der US-Behörden heißt. Kurz und knapp zusammengefasst versteht man darunter:
Systeme verschlüsseln,
Daten exfiltrieren,
Daten-Leak als Druckmittel nutzen, um Lösegeld zu erpressen.
Inzwischen hat Halliburton im Rahmen eines aktualisierten SEC-Filings eingeräumt, dass bei dem Cyberangriff Daten abgeflossen sind: “Wir glauben, dass unberechtigte Dritte auf Daten zugegriffen und diese exfiltriert haben. Wir evaluieren derzeit den Umfang und die Art der Informationen”. Dennoch geht das Unternehmen weiterhin davon aus, dass der Sicherheitsvorfall “wahrscheinlich keine schwerwiegenden Auswirkungen” auf seinen Betrieb und seine finanzielle Situation haben wird.
Halliburton ist ein multinationaler Erdölkonzern, der weltweit in mehr als 70 Ländern tätig ist und knapp 50.000 Mitarbeiter beschäftigt. Das Unternehmen ist ein wichtiger Zulieferer und Dienstleister, insbesondere für den Energiesektor. Im Jahr 2023 konnte Halliburton Einnahmen in Höhe von rund 23 Milliarden Dollar verbuchen.
In der Vergangenheit stand der Ölriese bereits des Öfteren in negativem Rampenlicht – unter anderem wegen Bestechungs- und Korruptionsaffären, Umweltkatastrophen (PDF), seinem Umgang mit internen Whistleblowern oder fragwürdigen Geschäften in Kriegs- und Krisenregionen.
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
No Responses