Bei dem populären Fahrradproduzenten Woom, der sich auf Herstellung und Vertrieb von Kinderfahrrädern spezialisiert hat, kam es vor rund zwei Wochen zu einem Cyberangriff. Jetzt hat sich die Ransomware-Bande INC Ransom zu der Tat bekannt und erpresst das Unternehmen.
Auf der Darknet-Seite von INC Ransom droht die Bande mit der Veröffentlichung der bei Woom erbeuteten Daten.
(Bild: heise medien)
Erkennbar in den Daten-Schnappschüssen auf der Darknet-Seite von INC Ransome sind Dokumente aus unterschiedlichen Abteilungen, etwa Buchhaltung und Finanzen. Viele Händlerkundennamen tauchen in den PDF-Dateinamen auf, also sind Geschäftskontakte betroffen. Domänen- und Zugriffsinformationen scheinen ebenfalls dazuzugehören – INC Ransom schreibt dazu, dass es sich um einen "AD Dump" handelt, also Datenabzug aus dem Active Directory von Woom.
In einer Pressemitteilung schreibt der österreichische Hersteller: "Gemeinsam mit einem internationalen Expertenteam der Agentur Cyberschutz hat woom den Vorfall sofort analysiert, eingedämmt und erfolgreich bearbeitet. Durch die schnelle Reaktion und das koordinierte Vorgehen konnten alle Systeme schnellstmöglich und vollständig wiederhergestellt werden. Es gibt Hinweise, dass teilweise Informationen von Kund*innen betroffen sein könnten, allerdings keine sensiblen Daten." Der eigentliche Cyberangriff fand demnach am Freitag, dem 7. November 2025, statt. Es habe sich um eine großflächige Cyberattacke gehandelt.
Auf Nachfrage von heise online konkretisierte das Unternehmen, dass die Angreifer durch eine "eine bisher nicht bekannte Schwachstelle der Firewall" – eine Zero-Day-Lücke – eingedrungen sind. Zuletzt waren einige Firewalls von renommierten Anbietern im Visier von Cyberkriminellen, da Sicherheitslücken darin das Kompromittieren von Netzwerken ermöglichten, etwa in Watchguards Firebox, Fortinets FortiWeb oder Firewalls von Cisco.
Auf die Frage, welche Daten kopiert wurden, sagte das Unternehmen: "Es waren Daten von Kund*innen, Mitarbeitenden und Händler*innen von der Verschlüsselung betroffen. Unsere Experten gehen derzeit davon aus, dass die Angreifer keinen Zugriff auf die Daten haben."
Offenbar gab es ersten Kontakt zwischen Woom und INC Ransom.
(Bild: heise medien)
Ein Screenshot auf der Darknet-Leaksite deutet darauf hin, dass INC Ransom das Unternehmen Woom zur Aufnahme von Lösegeldverhandlungen kontaktiert hat. Nach einer Rückfrage nach Daten-Samples hat Woom offenbar jedoch den Kontakt abgebrochen.
Derartige Cyberangriffe finden inzwischen offenbar alltäglich statt. Ende vergangener Woche etwa hat die Cybérgang cl0p einige namhafte Unternehmen in die Auflistung auf ihrer Darknet-Leaksite aufgenommen, etwa Broadcom, Canon, Mazda (zuzüglich Mazda USA) oder der Reifenhersteller Michelin.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare