Ich bin gerade durch einen Leser auf eine Information hingewiesen worden, die noch verifiziert werden muss. Die Everest Ransomware-Gruppe Everest listet BMW als eines ihrer Opfer auf. Behauptet wird, dass man bei einem erfolgreichen Angriff auch interne Dokumente (z.B. zum Auditing) erbeutet habe. Der Vorfall geht auf den 14. September 2025 zurück.

Die Everest Ransomware-Gruppe

Die Ransomware Everest und die gleichnamige Gruppe ist seit Dezember 2020 aktiv und hat sich im Bereich der Cyberkriminalität einen “Namen gemacht”. Zur Strategie der Grupp gehört es, hochkarätige Ziele wie die NASA, die brasilianische Regierung oder aktuell  des Kosmetik-Herstellers Clarins (siehe) anzugreifen.

Everest ist bekannt für seine Doppel-Erpressungstaktik: Es werden nicht nur die Daten der Opfer verschlüsselt. Die Ransomware zieht auch Daten ab und die Gruppe droht den Opfern mit der Veröffentlichung sensibler Informationen, wenn die Lösegeldforderungen nicht erfüllt werden.

Im April 2025 ist diese Seite zum Schluss gekommen, dass sich Everest inzwischen zum Initial Access Broker (IAB) gewandelt habe, der anderen Gruppen Zugang zu Systemen verschafft.

Die Seite enthält ein ausführliches Profil der Everest-Gruppe und verortet die Mitglieder mit einer starken Verbindung zu “Operationen mit Sitz in Russland”, schreibt aber auch von einer Verbindung zur BlackByte-Ransomware-Gruppe. Allerdings ist das genaue Herkunftsland derzeit noch unbestätigt.

Die Opfer der Gruppe finden sich derzeit in den USA, in Kanada und in Europa. SocRadar beschreibt hier ebenfalls ein Profil dieser Ransomware-Gruppe. In den fast fünf Jahren hat die Gruppe es wohl auf um die 200 Opfer gebracht.

Bezüglich der nachfolgenden Meldung sollte man wissen, dass die Everest Gruppe im April 2025 selbst wohl Opfer eines Hacks (von einem unbekannten Akteur) geworden ist und darauf hin mit der Tor-Seite offline ging. Security Affairs hat einige kurze Hinweise zum Vorfall publiziert. Bei Golem gibt es einen umfangreicheren Artikel zu diesem Vorfall. Die neuesten Opferbenennungen könnten der Versuch sein, sich wieder ins Gespräch zu bringen.

BMW mutmaßliches Everest Opfer

Ein Blog-Leser hat mich vor einigen Stunden über eine private Nachricht auf meinen Social Media-Kanälen auf Berichte hingewiesen, dass “BMW” mutmaßliches Everest Opfer geworden sei. Mir ist dann bei einer Recherche folgender Tweet untergekommen, die diese Information beinhaltet.

Es sind also sehr wenig Informationen verfügbar. Aktuell steht nur die Behauptung der Everest-Gruppe im Raum, die auf ihrer Onion-Darkweb-Seite die BMW-Group (bmw.com) als Opfer reklamiert.

Auf der Onion-Seite der Gruppe (siehe oben) findet sich in der Liste der behaupteten Opfer der Eintrag für Clarins (hatte ich oben im Text erwähnt), und aktuell BMW. Als Datum des Zugriffs auf BMW-Systeme wird der 14. September 2025 genannt. Es wurden bisher keine Daten als Beleg für die Ransomware-Infektion gepostet, sondern es läuft aktuell ein Count-Down, der besagt, dass kritische BMW Audit-Dokumente in ca. 12 Stunden (Stand beim Schreiben des Beitrags, 18.9.2025, 5:00 Uhr) veröffentlicht werden sollen.

Ich werde mal versuchen, bei der BMW-Presseabteilung eine Stellungnahme zu dieser Behauptung von Everest einzuholen.

Informationen zu BMW

Die Bayerische Motoren Werke Aktiengesellschaft (BMW) ist ein börsennotierter Automobil- und Motorradhersteller mit Sitz in München, der auch als BMW Group auftritt. BMW gehört mit 142 Milliarden Euro Umsatz und rund 159.000 Beschäftigten im Geschäftsjahr 2024 zu den größten Wirtschaftsunternehmen Deutschlands und zählt mit einem Jahresabsatz von 2,45 Millionen Automobilen und 210.385 Motorrädern im Jahr 2024 zu den 15 größten Kraftfahrzeugherstellern der Welt sowie zu den Top 6 nach Umsatz. Zur BMW Group  gehören die Automarken Mini und Rolls-Royce sowie die BMW-Submarken BMW M und BMW i.