Hacker-Gruppe StormouS/V4 Datendiebstahl bei Volkswagen?

Anbieter zum Thema

FAST LTA GmbH

FTAPI Software GmbH

Eine pro-russische Hacker-Gruppe behauptet, sensible Informationen der Volkswagen Gruppe gestohlen zu haben, darunter Log-in-Links und Authentifzierungstoken. VW dementiert den Cyberangriff jedoch.

Die Ransomware-Gruppe „StormouS/V4“ behauptet, einen Cyberangriff auf Volkswagen verübt und dabie sensible Daten gestohlen zu haben. Ransomware Live zufolge wurde die Volkswagen Gruppe am 31. Mai 2025 auf der Leak-Seite von StormouS/V4 gelistet. Als Nachweis dafür, dass ein Zugriff stattgefunden habe, findet sich dort ein aufgenommener Screenshot, der die Kommunikation zwischen Clients und Webservern wiedergibt. Hierbei handelt es sich vermutlich um die Catr-NetAPI-Endpunkte, die Drittanbietern dazu dienen, über vernetzte Dienste auf Funktionen von Volkswagen-Fahrzeugen zuzugreifen und mit ihnen zu interagieren.

Angeblich 750 GB an Daten gestohlen

Mutmaßlicher Cyberangriff auf Rheinmetall

Zu den gestohlenen Informationen sollen folgende gehören:

• Nutzerkontendaten

• teils versteckte E-Mails

• Authentifzierungstoken (OAuth und JWT-Tokens), darunter Identitäts- und Zugangsinformationen wie E-Mail, Profil oder Telefonnummern

• Log-in-Links für interne Systeme (etwa https://identity.vwgroup.io) Session-Cookies (jsessionid und weitere)

• Authentifizierungs- und Zugriffskontroll-Details

Wie viele Daten genau erbeutet wurden, gibt StormouS/V4 nicht an. Auf einem weiteren Screenshot gab sie zu GB ein Fragezeichen an. Threat-Monitoring-Reporten zufolge habe die Gruppe damit gedroht, die Informationen in den kommenden Tagen, vermutlich am 6. Juni, zu veröffentlichen. Eine Lösegeldforderung habe es jedoch bisher nicht gegeben. Zwar habe die Gruppe einen Link zu Beispieldaten geteilt, auf diesen sei derzeit jedoch kein Zugriff möglich.

Auf Nachfrage von Security-Insider erhielten wir von einem VW-Sprecher folgende Rückmeldung zu dem Vorfall: „Im vorliegenden Fall gab es nach aktuellem Kenntnisstand der internen Untersuchungen keinen unberechtigten Zugriff von externen Dritten auf personenbezogene Daten von Kundinnen und Kunden oder sensible Unternehmensdaten. Folglich ist eine missbräuchliche Verwendung solcher Daten auch nicht festzustellen. Wir untersuchen die vorliegenden Hinweise weiter, um jeglichen Schaden für die Volkswagen AG oder unsere Kunden auszuschließen. Sofern es sich für eine weitere umfassenden Aufklärung als hilfreich erweisen sollte, werden wir selbstverständlich die zuständigen Behörden in die Untersuchung einbeziehen.“ Auf weitere Details wolle der Sprecher während der laufenden Untersuchungen nicht eingehen.

ISX IT-Security Conference 2025

Insiderwissen über die Arbeit von Cyberkriminellen

Wer steckt hinter Stormous?

StormouS/V4 ist die vierte Version der Ransomware von Stormous, die auch als „StmX/GhostLocker v4“ bekannt und gefürchtet ist. Stormous ist Cyberplan zufolge eine noch relativ junge, pro-russische Gruppierung, die sich auf Ransomware-Angriffe und Datenexfiltration konzentriere. Wie viele Gruppen ihrer Art, zielt auch Stormous auf westliche Unternehmen und Organisationen ab. Sie behauptet, Geld für ihre Hacktivistenaktivitäten zu sammeln und andere Cybergruppen wie GhostSec zu unterstützen, mit denen sie kooperiert.

Der wohl bekannteste belgische Angriff von Stormous war der auf Duvel Moortgat im Jahr 2024. Dabei wurde die Produktion der Brauerei stillgelegt und 88 Gigabyte an Daten gestohlen, darunter vertrauliche Unternehmens- und Mitarbeiterdaten. Stormous hat bereits zahlreiche Unternehmen aus aller Welt angegriffen, darunter Regierungsbehörden wie auch Großkonzerne. Dabei setzten die Cyberkriminellen sowohl Ransomware als auch doppelte Erpressungsmethoden ein.

TTP-Analyse und Empfehlungen

BSI warnt vor russischem Geheimdienst

(ID:50442219)