Lockbit ist so etwas wie der Rockstar unter den organisierten Online-Erpresserbanden. Mit keinem anderen Verschlüsselungstrojaner, auch Ransomware genannt, werden derzeit mehr Unternehmen angegriffen. Allein in den letzten beiden Monaten tauchten 169 neue Erpressungsopfer auf dem Darknet-Blog von Lockbit auf. Darunter am Samstag der Schweizer Textilmaschinenhersteller Saurer aus Arbon. Lockbit droht damit, in wenigen Tagen vertrauliche Firmendaten der weltweit tätigen Saurer Group zu veröffentlichen.
Fast 170 Erpressungsopfer in zwei Monaten sind selbst für die derzeit aktivste Ransomware-Bande aussergewöhnlich. Allerdings gibt es Zweifel, ob wirklich alle aufgeführten Unternehmen im September und Oktober gehackt wurden. Denkbar ist auch, dass Kriminelle mit alten Daten aus früheren Hacks versuchen, die Unternehmen erneut zu erpressen.
Dies könnte zumindest bei Saurer und dem französischen Rüstungskonzern Thales der Fall sein, den Lockbit seit Montag ebenfalls als neues Opfer auflistet. Beide Unternehmen wurden bereits früher gehackt und beide haben eine neue Attacke gegenüber watson nicht bestätigt. Thales schrieb watson am Dienstag, man wisse, dass die Lockbit-Gruppe damit drohe, am 7. November angeblich gestohlene Firmendaten zu veröffentlichen. Am Mittwoch teilte der Konzern mit, man habe «keine Anzeichen für eine Beeinträchtigung seiner Informationssysteme oder ein Eindringen in diese festgestellt».
Als angeblichen Beweis für den (neuen) Datendiebstahl bei Saurer haben die Cyberkriminellen am 29. Oktober Auszüge aus gestohlenen Firmenunterlagen auf ihrem Darknet-Blog veröffentlicht. Darunter Dokumente, die mit «streng vertraulich» bezeichnet sind. So soll Saurer offenbar dazu gebracht werden, ein Lösegeld zu bezahlen.
Bei Saurer will man die Drohung der Cyberkriminellen nicht kommentieren und lässt sämtliche Fragen von watson unbeantwortet: «Wir werden Ihre Informationen nicht kommentieren und Ihre Fragen nicht beantworten. Wir geben grundsätzlich keine Informationen zu unternehmensinternen Vorgängen heraus», teilte das Unternehmen am Montag mit.
Saurer war bereits im August 2021 von einem Datendiebstahl betroffen, wie watson-Recherchen zeigten. Damals konnte die Ransomware-Bande Karma IT-Systeme von Saurer, die sich in Rechenzentren in Deutschland befinden, verschlüsseln und Daten abgreifen.
Ob Saurer erneut gehackt wurde, bleibt also vorerst unklar. Die von den Cyberkriminellen als angebliche Beweise veröffentlichten Dokumente scheinen zwar tatsächlich von Saurer zu stammen. Darunter sind allerdings keine aktuellen Dokumente, die nahelegen würden, dass der Textilmaschinenhersteller abermals gehackt wurde. Zudem handelt es sich um Dokumente, die anscheinend primär Saurer in Deutschland betreffen – genau wie beim Datenabfluss vor gut einem Jahr.
So bleibt die Vermutung im Raum, dass Lockbit die im letzten Jahr bei Saurer in Deutschland gestohlenen und später im Darknet publizierten Dokumente nutzt, um das Unternehmen erneut zu erpressen. Inwiefern dies für die Cyberkriminellen erfolgversprechend sein soll, sei dahingestellt.
Aus Saurers Umfeld heisst es, dass die damaligen Lücken in den IT-Systemen geschlossen worden seien und dies auch extern begutachtet worden sei. Falls es einen neuen Hack gegeben habe, müsse es sich um einen völlig neuen Vorfall handeln.
Auf dem Lockbit-Blog läuft der Countdown für Saurer in wenigen Tagen ab. Dann könnte sich zeigen, ob die Kriminellen nur bluffen oder ob Saurer tatsächlich erneut ein Problem hat.
Der Angriff im Sommer 2021 erfolgte über gestohlene Administrator-Accounts. Es kam mehrere Tage zu Ausfällen. «Wir haben kein Lösegeld bezahlt», sagte Saurer damals gegenüber watson. Die Polizei habe dringend geraten, auf die Mitteilungen der Erpresser nicht einzugehen. Die Ransomware-Bande Karma verlangte laut NZZ 500'000 Dollar. In der Folge veröffentlichte die Kriminellen über 10 Gigabyte an Firmendaten.
Zum angeblich neuen Hack bringt auch das Nationale Zentrum für Cybersicherheit (NCSC) kein Licht ins Dunkel: Das Kompetenzzentrum des Bundes für Cybersicherheit schreibt auf Anfrage, man äussere sich grundsätzlich «nicht zu konkreten Cybervorfällen von Unternehmen» und verweist an Saurer.
Die Kantonspolizei Thurgau schreibt, dass bislang keine Anzeige eingegangen sei, aber auch keine Meldepflicht bestehe. Das NCSC bestätigt, dass es in der Schweiz nach wie vor «keine generelle Meldepflicht für Cybervorfälle» gibt. «Aufgrund der zunehmenden Bedrohung durch Cybervorfälle für Wirtschaft und Bevölkerung möchte der Bundesrat jedoch das Meldewesen stärken», teilt die Behörde mit.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) liess die Anfrage von watson bislang unbeantwortet, ob Saurer in Deutschland erneut einen Cybervorfall gemeldet hat.
In den 1990er-Jahren entwickelte sich Saurer zum grössten Textilmaschinenbauer der Welt. 2013 wurde Saurer an die chinesische Jinsheng-Gruppe verkauft. Am grössten ist Saurer ausser in China in Deutschland, hatte dort allerdings mit grossen finanziellen Schwierigkeiten zu kämpfen.
Der französische Rüstungs- und Raumfahrtkonzern Thales schreibt watson, man habe bislang «noch keine direkte Lösegeldforderung erhalten», nehme die Behauptung der Hacker aber ernst und man untersuche derartige Situationen systematisch. Das Gleiche sagte Thales im Januar 2022. Damals machten die Cyberkriminellen ihre Drohung wahr und veröffentlichten Daten des Konzerns. Thales bestätigte den Datenabfluss, sprach aber von «Daten mit geringer Sensibilität». Dies könnte auch erklären, warum anscheinend kein Lösegeld bezahlt wurde.
Gegenüber der französischen Zeitung «Le Parisien» sagte der Cybersecurity-Experte Guillaume Maguet Anfang Jahr, die Ransomware-Bande Lockbit habe ihre Beute überbewertet, um einen prominenten Namen auf ihrer Opferliste zu haben. Ihre Verschlüsselungssoftware sei zwar technisch versiert, die Aussagen der Bande seien aber mit Vorsicht zu geniessen.
Eine Anfrage von watson, ob zwischen der Ransomware-Attacke von Anfang 2022 und dem von Lockbit behaupteten neuen Datendiebstahl ein Zusammenhang bestehe, liess Thales bislang unbeantwortet.
Die Erpresserbande Lockbit betreibt ihren gleichnamigen Verschlüsselungstrojaner Lockbit als Ransomware-as-a-Service. Das heisst, andere Kriminelle können die Erpressungs-Software von den Entwicklern mieten und nach Gutdünken gegen Behörden oder Unternehmen einsetzen. Dies dürfte ein wichtiger Grund sein, warum Ransomware-Angriffe in den letzten Jahren rapide zugenommen haben.
Die Flut an neuen Lockbit-Opfern in den letzten Wochen könnte aber noch einen anderen Grund haben: Im September hat ein angeblich verärgerter Entwickler den Bauplan des neusten Verschlüsselungsprogramms der Bande – Lockbit 3.0 – veröffentlicht. Mit relativ wenig Wissen kann nun jedermann eigene Ransomware-Attacken starten, was die Bedrohung für Unternehmen weiter erhöhen dürfte.
Hinweis: In der Original-Version dieses Artikels hiess es fälschlicherweise, dass Lockbit rund 160 neue Opfer im Oktober angibt. Tatsächlich sind es 169 im Oktober und September. Der Ransomware-Tracker ecrime.ch hat uns auf diesen Fehler aufmerksam gemacht.