Die Ransomware-Gruppe D1R erpresst Bosch mit der Veröffentlichung sensibler Entwicklungsdaten, die offenbar bei einem Einbruch bei Synopsys gestohlen wurden.
Die noch weitgehend unbekannte Ransomware-Gruppe D1R hat den deutschen Industriekonzern Bosch auf ihrer Leak-Seite im Darknet gelistet. Die Angreifer fordern das Unternehmen zu Verhandlungen auf und drohen mit der Veröffentlichung erbeuteter Daten nach Ablauf einer Frist von elf Tagen. Erste von den Hackern bereitgestellte Datenproben weisen auf den Abfluss von vertraulichen Konstruktionsunterlagen hin. Unter den Dateien befindet sich unter anderem ein Auszug aus dem Handbuch für das Kommunikationsprotokoll Controller Area Network (CAN), das ursprünglich 1983 von Bosch entwickelt wurde und heute weltweit zur Vernetzung elektronischer Komponenten in Fahrzeugen, Zügen und Flugzeugen zum Einsatz kommt.
Diebstahl von VHDL-Konstruktionsdateien
Ein von der Gruppe veröffentlichter Verzeichnisbaum der gestohlenen Daten zeigt zahlreiche Dateien mit der Endung .vhd. Diese Dateiformate enthalten üblicherweise Quellcode in der Hardware-Beschreibungssprache VHDL, die für das Design integrierter elektronischer Schaltungen verwendet wird. Der Abfluss dieser Daten birgt das Risiko, dass proprietäre Hardware-Designs von Bosch offengelegt werden. Solche Informationen könnten sowohl für Konkurrenten als auch für Cyberkriminelle von Wert sein, um Schwachstellen direkt in der Hardware-Architektur aufzuspüren. Der genaue Umfang des Datenlecks ist derzeit noch nicht von Bosch bestätigt worden.
Angreifer nutzen Schwachstelle bei Drittanbieter von Bosch
Nach Angaben der Erpresser handelt es sich nicht um einen direkten Einbruch in die IT-Infrastruktur von Bosch, sondern um einen Angriff auf die Lieferkette. Die Gruppe behauptet, die Daten über das US-amerikanische Unternehmen Synopsys entwendet zu haben, dessen Software weltweit für die Automatisierung des Elektronikdesigns eingesetzt wird. Die Hackergruppe gab in einer Stellungnahme an:
„Unser Cybersicherheits-Bewertungsteam hat eine Schwachstelle in Synopsis entdeckt. Eine fehlerhafte Logik in ihrem Registrierungsformular hat es unserem Team ermöglicht, eine gesamte Datenbank mit 40.000 Unternehmenskunden ohne internen Zugriff abzurufen.“
Ransomware-Gruppe D1R
Neben Bosch wird auch Synopsys selbst auf der Erpresserseite mit derselben elftägigen Frist geführt. Bosch wurde bereits in den Jahren 2021 und 2025 Opfer von Datenabflüssen über kompromittierte Drittanbieter.
(red)