Der Angriff wurde am frühen Dienstag bemerkt und richtete sich gegen die Computerserver, die im Hafen von Vigo den Frachtverkehr und weitere digitale Dienste steuern. Der Hafen liegt in der Region Galicien an der nordwestspanischen Küste. Gegenüber lokalen Medien sprachen Hafenvertreter von gesperrter Ausrüstung und einer Lösegeldforderung.

Um die Folgen einzudämmen, trennte das Technikteam der Hafenbehörde die betroffenen Systeme von externen Netzwerken. Hafenpräsident Carlos Botana machte deutlich, dass eine Wiederverbindung erst erfolgen soll, wenn die Sicherheit des Netzes zweifelsfrei feststeht: „Wir werden die Verbindungen nicht wiederherstellen, bis absolute Garantien dafür bestehen, dass kein weiterer Angriff möglich ist.” Einen Zeitplan dafür nannte er nicht.

Während Schiffsbewegungen und Frachtabfertigung weiterlaufen, ist die normalerweise über die digitalen Plattformen abgewickelte Logistikkoordination gestört. Einige Betreiber müssen vorübergehend auf manuelle Verfahren und Papierdokumente ausweichen.

Eine Untersuchung soll klären, wie die Angreifer Zugang zum Netzwerk erlangten und ob sensible Daten kompromittiert wurden. Botana bezeichnete den Vorfall als finanziell motivierten Cyberangriff mit dem Ziel, Lösegeld zu erpressen. Eine Verantwortung für die Tat hat bislang keine Cybercrime-Gruppe übernommen.

Häfen und maritime Organisationen sind in den vergangenen Jahren wegen ihrer zentralen Rolle im Welthandel zunehmend ins Visier von Ransomware-Banden geraten. 2023 setzte der japanische Hafen von Nagoya seinen Betrieb nach einem Ransomware-Angriff vorübergehend aus, der der Gruppe LockBit zugeschrieben wurde. Auch Häfen in Belgien, den Niederlanden, Deutschland, Portugal, Japan, Australien sowie in US-Städten wie Houston waren betroffen; mehrere große Anbieter von Schifffahrtstechnik hatten mit Sicherheitsvorfällen zu kämpfen, die ihre Abläufe tagelang lahmlegten.