Ein Indra Ransomware-Angriff setzt eines der größten europäischen Unternehmen der Verteidigungs- und Luftfahrtindustrie unter Druck. Die Ransomware-Gruppe Gentlemen behauptet, Unternehmensdaten gestohlen zu haben. Indra erklärt, dass lediglich eine Tochtergesellschaft betroffen war und der Geschäftsbetrieb nicht beeinträchtigt wurde. Gleichzeitig drohen die Angreifer damit, die angeblich gestohlenen Daten innerhalb von neun Tagen zu veröffentlichen.
Gentlemen setzt Indra eine Frist von neun Tagen
Die Ransomware-Gruppe Gentlemen hat den spanischen Konzern Indra Group auf ihrer Leak-Seite im Darknet veröffentlicht. Die Gruppe behauptet, im Besitz gestohlener Unternehmensdaten zu sein.
Der Eintrag erschien am 30. Juni. Die Angreifer gaben Indra neun Tage Zeit, Kontakt aufzunehmen, bevor sie die angeblich gestohlenen Daten veröffentlichen.
Ein solcher Countdown gehört zu den üblichen Methoden von Ransomware-Gruppen. Ziel ist es, den Druck auf das Opfer zu erhöhen und Verhandlungen über eine Lösegeldzahlung zu erzwingen.
Bislang haben weder Gentlemen noch Indra offengelegt, welche Daten möglicherweise betroffen sind.
Indra bestätigt Angriff auf Tochtergesellschaft
Indra hat bestätigt, dass eine Tochtergesellschaft von einem Ransomware-Angriff betroffen war. Das Unternehmen betont jedoch, dass der Vorfall den laufenden Betrieb nicht beeinträchtigt habe.
Nach Angaben von Indra aktivierte das Computer Security Incident Response Team (CSIRT) unmittelbar nach der Entdeckung des Angriffs die internen Notfallmaßnahmen.
Sicherheitsexperten begannen sofort mit der Untersuchung des Vorfalls, überprüften die betroffenen Systeme und analysierten möglicherweise kompromittierte Umgebungen.
Außerdem erklärte das Unternehmen, dass sich der Angriff auf die betroffene Tochtergesellschaft beschränkt habe. Die bisherigen Untersuchungen hätten keine Hinweise auf eine Ausbreitung innerhalb der gesamten Indra-Gruppe ergeben.
Indra setzt die Ermittlungen fort und überprüft gleichzeitig seine bestehenden Sicherheitsmaßnahmen und Prozesse.
Zu den Behauptungen der Hackergruppe über gestohlene Daten hat sich das Unternehmen bislang nicht öffentlich geäußert.
Indra spielt eine wichtige Rolle für Europas Verteidigung
Die Indra Group hat ihren Hauptsitz in Spanien und zählt zu den führenden Unternehmen Europas in den Bereichen Verteidigung, Luft- und Raumfahrt sowie Technologie.
Das Unternehmen liefert Systeme und Dienstleistungen an Regierungen, Streitkräfte und Betreiber kritischer Infrastrukturen.
Indra war außerdem das erste spanische Unternehmen, das der Cyberverteidigungskoalition der NATO beitrat.
Neben Verteidigungsprojekten entwickelt das Unternehmen Lösungen für Identitätsmanagement und Cybersicherheit. Zu den Kunden zählen Organisationen aus den Bereichen Energie, Finanzen, Telekommunikation und öffentliche Verwaltung.
Zum Portfolio gehören außerdem Flugsicherungssysteme, militärische Simulationsplattformen, Überwachungsradare sowie intelligente Verkehrssysteme für Straßen- und Schienennetze.
Im Jahr 2025 baute Indra sein Raumfahrtgeschäft deutlich aus und übernahm rund 90 Prozent des spanischen Satellitenbetreibers Hispasat.
Heute beschäftigt das Unternehmen mehr als 62.000 Mitarbeiter, erzielt einen Jahresumsatz von rund 5 Milliarden Euro und ist in über 140 Ländern tätig.
Wer steckt hinter Gentlemen?
Gentlemen arbeitet nach dem Modell Ransomware-as-a-Service (RaaS). Dabei führen Partner die Angriffe durch und teilen die Einnahmen mit der Gruppe, die die Infrastruktur bereitstellt.
Sicherheitsforscher gehen davon aus, dass die Gruppe aus ArmCorp hervorgegangen ist – einem bekannten Partnernetzwerk innerhalb des Qilin-Ransomware-Ökosystems mit rund 20 Mitgliedern.
Nach Angaben des Cybersicherheitsunternehmens Halcyon entstand die Abspaltung nach einem Streit über Provisionszahlungen im Juli 2025. Ein Bedrohungsakteur mit dem Namen „hastalamuerte“ warf Qilin im Untergrundforum RAMP öffentlich vor, Provisionen in Höhe von rund 48.000 US-Dollar einbehalten zu haben.
Forscher stellten später fest, dass die erste Version der Gentlemen-Ransomware bereits am 17. Juli 2025 bei VirusTotal auftauchte.
Da die Schadsoftware die URL der Leak-Seite bereits enthielt, bevor der Streit öffentlich bekannt wurde, gehen Analysten davon aus, dass die Trennung lange im Voraus geplant war.
Die Gruppe baut ihre Aktivitäten weiter aus
Nach aktuellen Bedrohungsdaten verzeichnete Thailand die meisten Opfer von Gentlemen. Es folgen die USA, Frankreich und Brasilien.
Die jüngsten Drohungen gegen Indra zeigen, dass sich die Gruppe weiterhin auf große Unternehmen in strategisch wichtigen Branchen konzentriert.
Ob die Angreifer tatsächlich über sensible Unternehmensdaten verfügen, ist bislang unklar. Die laufenden Ermittlungen dürften in den kommenden Tagen mehr Klarheit über das tatsächliche Ausmaß des Vorfalls bringen.


0 Kommentare zu „Indra untersucht Ransomware-Angriff nach Drohung von Hackern, gestohlene Daten zu veröffentlichen“