Ransomware-Angriff auf Foxconn: Apple- und Nvidia-Projektdaten gestohlen

Foxconn hat einen Ransomware-Angriff auf mehrere seiner nordamerikanischen Fabriken bestätigt, nachdem die Ransomware-Gruppe „Nitrogen“ am 11. Mai behauptet hatte, 8 TB an Daten mit mehr als 11 Millionen Dateien gestohlen zu haben. Der Angriff betraf Produktionsstätten in Mount Pleasant (Wisconsin) und Houston (Texas). Dies zwang einige Mitarbeiter dazu, auf Stift und Papier auszuweichen, während andere nach Hause geschickt wurden, bis der Netzwerkzugriff wiederhergestellt war.

„Das Cybersicherheitsteam hat sofort den Reaktionsmechanismus aktiviert und mehrere betriebliche Maßnahmen ergriffen, um die Kontinuität von Produktion und Auslieferung zu gewährleisten“, erklärte ein Foxconn-Sprecher gegenüber BleepingComputer. „Die betroffenen Fabriken nehmen derzeit den normalen Produktionsbetrieb wieder auf.“

Foxconn ist der weltweit größte Auftragshersteller von Elektronik mit über 900.000 Mitarbeitern in 240 Betriebsstätten in 24 Ländern und meldete für das Jahr 2025 einen Umsatz von über 260 Milliarden US-Dollar. Seine Kundenliste liest sich wie das „Who’s Who“ der Tech-Branche: Apple, Nvidia, Intel, Google, Dell, AMD, Microsoft und Sony verlassen sich bei der Hardware-Produktion alle auf das Unternehmen. Genau diese Kundenliste nutzt Nitrogen nun als Druckmittel.

Die Gruppe behauptet, dass die gestohlenen Dateien vertrauliche Anweisungen, interne Projektdokumentationen, Platinen-Layouts und technische Zeichnungen enthalten, die mit Projekten bei Apple, Nvidia, Intel, Google, Dell und AMD in Verbindung stehen. Beispieldateien wurden auf Nitrogens Dark-Web-Leak-Seite veröffentlicht. Foxconn hat nicht bestätigt, ob tatsächlich Kundendaten entwendet wurden, und lehnte es ab, spezifische Fragen zu diesem Thema zu beantworten.

Wer Nitrogen ist und warum eine Lösegeldzahlung eventuell nicht hilft

Nitrogen ist seit 2023 aktiv und agiert als Gruppe, die doppelte Erpressung betreibt: Sie verschlüsselt die Dateien der Opfer und droht gleichzeitig mit der Veröffentlichung der gestohlenen Daten, sofern kein Lösegeld gezahlt wird. Es wird angenommen, dass die Gruppe auf dem Code des geleakten „Conti 2“-Ransomware-Baukastens aufbaut, und es besteht der Verdacht auf Verbindungen zum ALPHV/BlackCat-Ökosystem.

Bei der Zahlung des Lösegelds gibt es jedoch ein erhebliches Problem. Im Februar 2026 veröffentlichten Forscher von Coveware eine Warnung, dass ein Programmierfehler im ESXi-Verschlüsselungsprogramm von Nitrogen dazu führt, dass alle Dateien mit dem falschen öffentlichen Key verschlüsselt werden. Dadurch wird eine Wiederherstellung der Dateien unmöglich – selbst wenn das Opfer bezahlt.

Für Foxconn bedeutet dies, dass das Unternehmen vor der Aussicht steht, den Zugriff auf die verschlüsselten Daten dauerhaft zu verlieren, ganz unabhängig davon, wie es sich bezüglich der Lösegeldforderung entscheidet. Nitrogen hat sich einen Namen damit gemacht, Unternehmen in den Bereichen Bauwesen, Finanzdienstleistungen, Fertigung und Technologie ins Visier zu nehmen.

Das bisher prominenteste Opfer der Gruppe ist Foxconn. In der Anlage in Mount Pleasant werden in erster Linie Fernseher und Datenserver produziert, jedoch keine Apple-Endgeräte für Verbraucher. Dies könnte die Auswirkungen auf die Apple-spezifische Produktentwicklung begrenzen. Der Produktumfang des Werks in Houston wurde hingegen nicht öffentlich im Detail bekannt gegeben.

Ein wiederkehrendes Ziel

Dies ist in den letzten Jahren bereits der mindestens dritte große Ransomware-Angriff auf Foxconn-Anlagen. Im Dezember 2020 traf die DoppelPaymer-Gruppe das Werk in Ciudad Juárez (Mexiko), verschlüsselte bis zu 1.400 Server, zerstörte 20 bis 30 TB an Backups und forderte 34 Millionen US-Dollar in Bitcoin. In den Jahren 2022 und 2024 nahm LockBit die Foxconn-Tochtergesellschaft Foxsemicon Integrated Technology ins Visier.

Dieses Muster spiegelt die anhaltende Attraktivität großer Auftragshersteller als Ransomware-Ziele wider: Sie besitzen sensible Daten von Dutzenden Großkunden, sie betreiben komplexe Abläufe an mehreren Standorten, was viele potenzielle Angriffspunkte schafft, und betriebliche Unterbrechungen haben direkte Folgewirkungen für die Unternehmen, die sie beliefern.

Notebookcheck hat in diesem Monat über den zunehmenden Einsatz von KI bei der Entwicklung von Ransomware und Zero-Day-Exploits berichtet. Dazu gehört auch die Bestätigung von Google über den ersten KI-entwickelten Zero-Day-Exploit, der im Rahmen einer groß angelegten Exploit-Kampagne zum Einsatz kam.