Cybercrime
Technologiekonzern Saurer gehackt: Heikle Daten im Darknet geleakt

Laut Recherchen des News-Portals «Watson» hat eine kaum bekannte Erpresserbande damit begonnen, Geschäftsunterlagen des Industrieunternehmens im Darknet zu veröffentlichen. Ein Verantwortlicher der Saurer Group nimmt Stellung.

Oliver Wietlisbach, Daniel Schurter, «Watson»
Drucken
Teilen
Saurer wurde auch durch seine Militärlastwagen bekannt. Nun sind Kriminelle in Server des weltweit tätigen Industrieunternehmen in Deutschland eingedrungen.

Saurer wurde auch durch seine Militärlastwagen bekannt. Nun sind Kriminelle in Server des weltweit tätigen Industrieunternehmen in Deutschland eingedrungen.

Bild: Donato Caspari
(8. Mai 2021)

Interne Dokumente der Saurer Group sind im Darknet zugänglich: Der aus dem Schweizer Traditionsunternehmen hervorgegangene Technologie-Konzern ist offenbar von einem Datendiebstahl unbekannten Ausmasses betroffen. Tausende Dateien sind von einer relativ unbekannten Ransomware-Bande namens Karma veröffentlicht worden. Weitere Leaks könnten folgen.

Bei der Saurer Group handelt sich um eines der bis dato bekanntesten und grössten Opfer einer Ransomware-Attacke. Der Konzern hat einen Jahresumsatz von über einer Milliarde Franken und weltweit fast 5000 Angestellte.

Saurer Group bestätigt Attacke

Peter Trinkl, Chief Strategy Officer und Chief Information Officer bei der Saurer Group, hat am Donnerstagmorgen gegenüber «Watson» den Hackerangriff bestätigt. «Wir waren um den 1. August 2021 herum von einer Ransomware-Attacke betroffen», sagte der Manager am Telefon. Ein zweiter, weniger gravierender Angriff folgte am 26. August. Von der Veröffentlichung im Darknet kenne er hingegen noch keine Details.

Der Hackerangriff, bzw. die Attacke, habe primär in Deutschland (in den dortigen Rechenzentren) stattgefunden. Darum seien auch die in Deutschland zuständigen Behörden informiert worden, namentlich die Polizei sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es seien «einige, aber nicht alle Systeme betroffen» gewesen, sagt der Saurer-Manager. Das Unternehmens-Netzwerk sei während vier Tagen isoliert worden – und dann nach einem Clean-Up wieder Server für Server aufgeschaltet worden. Die Täter forderten eine halbe Million Dollar. «Wir haben kein Lösegeld bezahlt», betont der Manager:

«Die Polizei hat uns dringend geraten, auf die Mitteilungen der Erpresser nicht einzugehen.»

Die Untersuchungen liefen noch.

Die Ransomware-Gruppe Karma war bis dato nicht mit spektakulären Leaks in Erscheinung getreten

Die Ransomware-Gruppe Karma war bis dato nicht mit spektakulären Leaks in Erscheinung getreten

Screenshot: «Watson»

Das ganze Ausmass des Datenlecks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern. Die Recherchen zeigen, dass sich unter dem zur Saurer Group geleakten Material zahlreiche Exceltabellen, Mitarbeiterlisten und Finanzdokumente befinden. Ob alle vom Datenabfluss betroffen Angestellten, Kunden und Geschäftspartner gewarnt wurden, ist nicht bekannt.

Die Kriminellen begannen am Mittwoch damit, erste Dateien im Darknet zu veröffentlichen, wie die IT-Sicherheitsfirma DarkTracer via Twitter informierte. Es handelte sich zunächst um eine Datenmenge von über 10 Gigabyte.

Screenshot: «watson»

Wer sind die Angreifer?

Über Karma ist relativ wenig bekannt. Der erste Eintrag auf der von der Gruppierung betriebenen Darknet-Leak-Site datiert vom 22. Mai 2021. Die ersten Veröffentlichungen von Opfer-Daten erfolgten am Mittwoch, 1. September 2021.

Die von den Angreifer eingesetzte Schadsoftware blockiert den Zugriff auf Dateien, indem sie diese verschlüsselt. Ausserdem benennt sie alle betroffenen Dateien um, indem sie die Erweiterung «.KARMA» an den Dateinamen anhängt. Die Lösegeldforderung ist in einer Textdatei («KARMA-ENCRYPTED.txt») enthalten.

Die von den Angreifer eingesetzte Schadsoftware blockiert den Zugriff auf Dateien, indem sie diese verschlüsselt. Ausserdem benennt sie alle betroffenen Dateien um, indem sie die Erweiterung «.KARMA» an den Dateinamen anhängt. Die Lösegeldforderung ist in einer Textdatei («KARMA-ENCRYPTED.txt») enthalten.

Screenshot: pcrisk.com

An ihre Opfer gerichtet, lassen die unbekannten Kriminellen auf ihrem Darknet-Blog verlauten: «Wenn Sie sich auf dieser Website befinden, wurde Ihr Netzwerk von der Ransomware-Gruppe Karma angegriffen. Setzen Sie sich mit uns in Verbindung, um die Bedingungen für die Rückgängigmachung des von uns verursachten Schadens und die Löschung der von uns heruntergeladenen Daten auszuhandeln. Wir raten Ihnen, keine Datenwiederherstellungstools zu verwenden, ohne Kopien der ursprünglich verschlüsselten Datei zu hinterlassen. Sie riskieren damit eine irreversible Beschädigung der Datei.»

Als zweites (angebliches) Opfer wird im Karma-Leaks-Blog die kalifornische Firma Align Technology aufgeführt. Dabei handelt es sich um ein noch grösseres Industrieunternehmen mit einem Jahresumsatz von fast 2,5 Milliarden Dollar.

Die Kriminellen kündigen auf ihrem über die Anonymisierungs-Software Tor erreichbaren Blog zudem an, sie hätten ein weiteres Grossunternehmen gehackt und wollten gestohlene Dokumente veröffentlichen: «Das nächste Leak wird das eines milliardenschweren Kosmetik- und Parfümunternehmens sein», drohen sie an.

Gemäss dieser von der IT-Sicherheitsfirma DarkTracker Ende August veröffentlichten Grafik gehen bislang relativ wenige Attacken auf die Karma-Bande zurück.

Gemäss dieser von der IT-Sicherheitsfirma DarkTracker Ende August veröffentlichten Grafik gehen bislang relativ wenige Attacken auf die Karma-Bande zurück.

Screenshot: Twitter

Kürzlich machte «Watson »einen Hackerangriff auf das Schweizer Industrieunternehmen Habasit publik. Auch beim Weltmarktführer für Transportbänder und Antriebsriemen veröffentlichten die Angreifer Daten im Darknet. Die betroffene Unternehmensführung gab keine Stellungnahme ab. Hinter der Habasit-Attacke steckte die berüchtigte Internet-Erpresserbande Conti (früher als Ryuk bekannt), die auch schon die Server des irischen Gesundheitssystems sowie die Technische Universität Berlin lahmgelegt hatten.

Saurer wurde 1853 in Arbon am Bodensee von Franz Saurer als Eisengiesserei gegründet. In den 1990er-Jahren entwickelte sich das Unternehmen zum grössten Textilmaschinenbauer der Welt. Heute zählt der Konzern 4200 Angestellte weltweit. 2007 wurde Saurer an OC Oerlikon verkauft, 2013 an die chinesische Jinsheng-Gruppe. Diese brachte Saurer in Schanghai an die Börse, ist aber weiterhin grösste Aktionärin.

«Pandemie, Logistikprobleme, Schrumpfung der Weltwirtschaft, Zurückhaltung der Textilindustrie bei Investitionen – 2020 ist Saurer in mancherlei Hinsicht das Geschäft vermiest worden», kommentierten wir Ende Juli.

Am grössten ist Saurer ausser in China in Deutschland, hatte dort allerdings mit grossen finanziellen Schwierigkeiten zu kämpfen. Zuletzt sorgte der Konzern mit drei Firmenverkäufen an den Winterthurer Textilmaschinenhersteller Rieter für Schlagzeilen. Mit dem Zufluss dieser Mittel sollen die finanziellen Probleme in Deutschland gelöst werden.

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen

Das Projekt «No More Ransom» stellt kostenlose Entschlüsselungstools für Opfer von Ransomware-Attacken zur Verfügung. Aktuell werden 121 kostenlose Decryption-Tools, die 151 Ransomware-Familien entschlüsseln können, zur Verfügung gestellt. Mehr als sechs Millionen Ransomware-Opfer konnten so in den letzten fünf Jahren ihre Dateien entschlüsseln, ohne Lösegeld zu zahlen. Den Erpressern sollen bislang 900 Millionen Euro (973 Millionen Franken) entgangen sein. Hinter dem Projekt «No More Ransom» stehen Europol, die niederländische Polizei, Kaspersky und McAfee. (oli)

Aktuelle Nachrichten