DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Saurer wurde auch durch seine Militärlastwagen bekannt. Nun sind Kriminelle in Server des weltweit tätigen Industrieunternehmen in Deutschland eingedrungen.
Saurer wurde auch durch seine Militärlastwagen bekannt. Nun sind Kriminelle in Server des weltweit tätigen Industrieunternehmen in Deutschland eingedrungen.
archivBild: KEYSTONE

Technologie-Konzern Saurer wird doppelt gehackt – Erpresser wollen 500'000 Dollar Lösegeld

Wie watson-Recherchen zeigen, hat eine kaum bekannte Erpresserbande damit begonnen, Geschäftsunterlagen des Industrieunternehmens im Darknet zu veröffentlichen. Ein Verantwortlicher der Saurer Group nimmt Stellung.
02.09.2021, 08:2303.09.2021, 09:01

Interne Dokumente der Saurer Group sind im Darknet zugänglich: Der aus dem Schweizer Traditionsunternehmen hervorgegangene Technologie-Konzern ist offenbar von einem Datendiebstahl unbekannten Ausmasses betroffen.

Tausende Dateien sind von einer relativ unbekannten Ransomware-Bande namens «KARMA» veröffentlicht worden. Weitere Leaks könnten folgen.

Bei der Saurer Group handelt sich um eines der bis dato bekanntesten und grössten Opfer von Ransomware-Attacken. Der Konzern hat einen Jahresumsatz von über einer Milliarde Franken und weltweit fast 5000 Angestellte.

Saurer Group bestätigt zwei Attacken

Peter Trinkl, Chief Strategy Officer und Chief Information Officer bei der Saurer Group, hat am Donnerstagmorgen gegenüber watson den ersten von zwei Hackerangriffen bestätigt. «Wir waren um den 1. August herum von einer Ransomware-Attacke betroffen», sagte der Manager am Telefon. Von der Veröffentlichung im Darknet kenne er hingegen noch keine Details.

Der Hackerangriff, bzw. die Attacke, habe primär in Deutschland (in den dortigen Rechenzentren) stattgefunden. Darum seien auch die in Deutschland zuständigen Behörden informiert worden, namentlich die Polizei sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Es seien «einige, aber nicht alle Systeme betroffen» gewesen, sagt der Saurer-Manager. Das Unternehmens-Netzwerk sei während vier Tagen isoliert worden – und dann nach einem «Clean-Up» wieder Server für Server aufgeschaltet worden.

Am 26. August sei der Angriff in einer zweiten Welle fortgesetzt worden, ergänzte Saurer auf Anfrage der Nachrichtenagentur AWP. Welche Daten genau betroffen sind, werde gegenwärtig untersucht.

«Wir haben kein Lösegeld bezahlt», betont Trinkl gegenüber watson. «Die Polizei hat uns dringend geraten, auf die Mitteilungen der Erpresser nicht einzugehen.» Die Ransomware-Bande verlangte laut NZZ 500'000 Dollar.

Die Ransomware-Gruppe Karma war bis dato nicht mit spektakulären Leaks in Erscheinung getreten.
Die Ransomware-Gruppe Karma war bis dato nicht mit spektakulären Leaks in Erscheinung getreten.
screenshot: watson

Das ganze Ausmass des Datenlecks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern.

«Das nächste Leak wird das eines milliardenschweren Kosmetik- und Parfümunternehmens sein.»
Ankündigung im Darknet

Die Recherchen zeigen, dass sich unter dem zur Saurer Group geleakten Material zahlreiche Exceltabellen, Mitarbeiterlisten und Finanzdokumente befinden.

Ob alle vom Datenabfluss betroffen Angestellten, Kunden und Geschäftspartner gewarnt wurden, ist nicht bekannt.

Die Kriminellen begannen am Mittwoch damit, erste Dateien im Darknet zu veröffentlichen, wie die IT-Sicherheitsfirma DarkTracer via Twitter informierte. Es handelte sich zunächst um eine Datenmenge von über 10 Gigabyte.

screenshot: watson

Die Ransomware-Attacke auf Saurer könnte auch unangenehme Folgen für den Winterthurer Spinnereimaschinenhersteller Rieter haben, der im August Geschäftsteile von Saurer übernommen hat. «Da wir den Umfang der Daten noch untersuchen, können wir hierzu keine Aussage machen», sagte Saurer gegenüber der Nachrichtenagentur AWP. Auch seitens Rieter hiess es, dass der Sachverhalt erst geklärt werden müsse.

Wer sind die Angreifer?

Zu Karma ist relativ wenig bekannt. Der erste Eintrag auf der von der Gruppierung betriebenen Darknet-Leak-Site datiert vom 22. Mai 2021. Die ersten Veröffentlichungen von Opfer-Daten erfolgten am Mittwoch, 1. September.

Die von den Angreifer eingesetzte Schadsoftware blockiert den Zugriff auf Dateien, indem sie diese verschlüsselt. Ausserdem benennt sie alle betroffenen Dateien um, indem sie die Erweiterung «.KARMA» an den Dateinamen anhängt. Die Lösegeldforderung ist in einer Textdatei («KARMA-ENCRYPTED.txt») enthalten.
Die von den Angreifer eingesetzte Schadsoftware blockiert den Zugriff auf Dateien, indem sie diese verschlüsselt. Ausserdem benennt sie alle betroffenen Dateien um, indem sie die Erweiterung «.KARMA» an den Dateinamen anhängt. Die Lösegeldforderung ist in einer Textdatei («KARMA-ENCRYPTED.txt») enthalten.
screenshot: pcrisk.com

An ihre Opfer gerichtet lassen die unbekannten Kriminellen auf ihrem Darknet-Blog verlauten:

«Wenn Sie sich auf dieser Website befinden, wurde Ihr Netzwerk von der Ransomware-Gruppe Karma angegriffen.

Setzen Sie sich mit uns in Verbindung, um die Bedingungen für die Rückgängigmachung des von uns verursachten Schadens und die Löschung der von uns heruntergeladenen Daten auszuhandeln. Wir raten Ihnen, keine Datenwiederherstellungstools zu verwenden, ohne Kopien der ursprünglich verschlüsselten Datei zu hinterlassen. Sie riskieren damit eine irreversible Beschädigung der Datei.»

Als zweites (angebliches) Opfer wird im Karma-Leaks-Blog die kalifornische Firma Align Technology aufgeführt. Dabei handelt es sich um ein noch grösseres Industrieunternehmen mit einem Jahresumsatz von fast 2,5 Milliarden Dollar.

Die Kriminellen kündigen auf ihrem über die Anonymisierungs-Software Tor erreichbaren Blog zudem an, sie hätten ein weiteres Grossunternehmen gehackt und wollten gestohlene Dokumente veröffentlichen: «Das nächste Leak wird das eines milliardenschweren Kosmetik- und Parfümunternehmens sein», drohen sie an.

Gemäss dieser von der IT-Sicherheitsfirma DarkTracker Ende August veröffentlichten Grafik gehen bislang relativ wenige Attacken auf die Karma-Bande zurück.
Gemäss dieser von der IT-Sicherheitsfirma DarkTracker Ende August veröffentlichten Grafik gehen bislang relativ wenige Attacken auf die Karma-Bande zurück.
screenshot: twitter

Kürzlich machte watson einen Hackerangriff auf das Schweizer Industrieunternehmen Habasit publik. Auch beim Weltmarktführer für Transportbänder und Antriebsriemen veröffentlichten die Angreifer Daten im Darknet. Die betroffene Unternehmensführung gab keine Stellungnahme ab.

Hinter der Habasit-Attacke steckte die berüchtigte Internet-Erpresserbande Conti (früher als Ryuk bekannt), die auch schon die Server des irischen Gesundheitssystems sowie die Technische Universität Berlin lahmgelegt hatten.

Saurer wurde 1853 in Arbon TG von Franz Saurer als Eisengiesserei gegründet. In den 1990er-Jahren entwickelte sich das Unternehmen zum grössten Textilmaschinenbauer der Welt. Heute zählt der Konzern 4200 Angestellte weltweit.

2007 wurde Saurer an OC Oerlikon verkauft, 2013 an die chinesische Jinsheng-Gruppe. Diese brachte Saurer in Schanghai an die Börse, ist aber weiterhin grösste Aktionärin.

«Pandemie, Logistikprobleme, Schrumpfung der Weltwirtschaft, Zurückhaltung der Textilindustrie bei Investitionen – 2020 ist Saurer in mancherlei Hinsicht das Geschäft vermiest worden», kommentierte das Schweizer «Tagblatt».

Am grössten ist Saurer ausser in China in Deutschland, hatte dort allerdings mit grossen finanziellen Schwierigkeiten zu kämpfen. Zuletzt sorgte der Konzern mit zwei Firmen-Verkäufen an den Winterthurer Textilmaschinenhersteller Rieter für Schlagzeilen. Mit dem Zufluss dieser Mittel sollen die finanziellen Probleme in Deutschland gelöst werden.

Ransomware-Attacken: Die Liste der Opfer wird länger und länger

Bekannte Opfer von Ransomware-Attacken hierzulande sind der Internet-Vergleichsdienst Comparis, der Aargauer Pharmazulieferer Siegfried, der Thurgauer Zugkonstrukteur Stadler Rail, die Privatklinikgruppe Pallas und die Waadtländer Firma Matisa, Spezialistin für Gleisbaumaschinen.

Betroffen waren aber auch schon die Swatch Group, der Helikopterhersteller Kopter, das Elektrounternehmen Huber + Suhner sowie die Hirslanden-Gruppe.

Rund 80 Prozent der beim Nationalen Zentrum für Cybersicherheit (NCSC) eingegangen Meldungen betrafen laut dem letzten Halbjahresbericht kleine und mittlere Unternehmen (KMU). Da es in der Schweiz bislang keine Meldepflicht für Cybersecurity-Vorfälle gibt, dürfte die Zahl der erfolgreichen Angriffe deutlich höher liegen, schreibt inside-it.ch.

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen
Das Projekt «No More Ransom» stellt kostenlose Entschlüsselungstools für Opfer von Ransomware-Attacken zur Verfügung. Aktuell werden 121 kostenlose Decryption-Tools, die 151 Ransomware-Familien entschlüsseln können, zur Verfügung gestellt. Mehr als sechs Millionen Ransomware-Opfer konnten so in den letzten fünf Jahren ihre Dateien entschlüsseln, ohne Lösegeld zu zahlen. Den Erpressern sollen bislang 900 Millionen Euro (973 Millionen Franken) entgangen sein. Hinter dem Projekt «No More Ransom» stehen Europol, die niederländische Polizei, Kaspersky und McAfee. (oli)

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
quelle: screenshot: youtube
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Wenn Google Schweizer Memes vorliest ...

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Fernseher-Preise im Internet manipuliert: Samsung muss büssen

Samsung hat laut der niederländischen Konsumentenschutzbehörde während fünf Jahren die Preise seiner Fernseher auf illegale Weise manipuliert. Der koreanische Elektronikriese muss deshalb eine Strafe in Höhe von fast 40 Millionen Euro zahlen, wie die Zeitung «De Telegraaf» berichtete.

Samsung-Angestellte hätten in der Zeit von 2013 bis 2018 aktiv das Internet nach besonders günstigen Angeboten von Händlern durchforstet, um im Anschluss Druck auf die Anbieter auszuüben, damit diese die Preise …

Artikel lesen
Link zum Artikel