Cyberkriminalität
Online-Erpresserbande ausser Rand und Band: 160 Firmen in einem Monat erwischt

Die Cybercrime-Bande Lockbit will allein im Oktober 160 Unternehmen gehackt und erpresst haben. Betroffen soll auch der Schweizer Industriekonzern Saurer sein. Doch ob die Erpresser so erfolgreich sind, wie sie vorgeben, ist unklar.

Oliver Wietlisbach / watson.ch
Drucken

Lockbit ist so etwas wie der Rockstar unter den organisierten Online-Erpresserbanden. Mit keinem anderen Verschlüsselungstrojaner, auch Ransomware genannt, werden derzeit mehr Unternehmen angegriffen. Allein im Oktober 2022 tauchten 160 neue Erpressungsopfer auf dem Darknet-Blog von Lockbit auf. Darunter am Samstag der Schweizer Textilmaschinenhersteller Saurer aus Arbon. Lockbit droht damit, in wenigen Tagen vertrauliche Firmendaten der weltweit tätigen Saurer Group zu veröffentlichen.

160 Erpressungsopfer in einem Monat sind selbst für die derzeit aktivste Ransomware-Bande aussergewöhnlich. Allerdings gibt es Zweifel, ob wirklich alle aufgeführten Unternehmen im Oktober gehackt wurden. Denkbar ist auch, dass Kriminelle mit alten Daten aus früheren Hacks versuchen, die Unternehmen erneut zu erpressen.

Kriminelle drohen am 5. November 2022 erneut, Firmendaten von Saurer zu veröffentlichen.

Kriminelle drohen am 5. November 2022 erneut, Firmendaten von Saurer zu veröffentlichen.

Screenshot/lockbit-blog

Dies könnte zumindest bei Saurer und dem französischen Rüstungskonzern Thales der Fall sein, den Lockbit seit Montag ebenfalls als neues Opfer auflistet. Beide Unternehmen wurden bereits früher gehackt und beide haben eine neue Attacke gegenüber watson bislang nicht bestätigt.

Spielen die Cyberkriminellen ein falsches Spiel?

Als angeblichen Beweis für den (neuen) Datendiebstahl bei Saurer haben die Cyberkriminellen am 29. Oktober Auszüge aus gestohlenen Firmenunterlagen auf ihrem Darknet-Blog veröffentlicht. Darunter Dokumente, die mit «streng vertraulich» bezeichnet sind. So soll Saurer offenbar dazu gebracht werden, ein Lösegeld zu bezahlen.

Bei Saurer will man die Drohung der Cyberkriminellen nicht kommentieren und lässt sämtliche Fragen von watson unbeantwortet: «Wir werden Ihre Informationen nicht kommentieren und Ihre Fragen nicht beantworten. Wir geben grundsätzlich keine Informationen zu unternehmensinternen Vorgängen heraus», teilte das Unternehmen am Montag mit.

Saurer war bereits im August 2021 von einem Datendiebstahl betroffen, wie watson-Recherchen zeigten. Damals konnte die Ransomware-Bande Karma IT-Systeme von Saurer, die sich in Rechenzentren in Deutschland befinden, verschlüsseln und Daten abgreifen.

Nur ein Bluff?

Ob Saurer erneut gehackt wurde, bleibt also vorerst unklar. Die von den Cyberkriminellen als angebliche Beweise veröffentlichten Dokumente scheinen zwar tatsächlich von Saurer zu stammen. Darunter sind allerdings keine aktuellen Dokumente, die nahelegen würden, dass der Textilmaschinenhersteller abermals gehackt wurde. Zudem handelt es sich um Dokumente, die anscheinend primär Saurer in Deutschland betreffen – genau wie beim Datenabfluss vor gut einem Jahr.

So bleibt die Vermutung im Raum, dass Lockbit die im letzten Jahr bei Saurer in Deutschland gestohlenen und später im Darknet publizierten Dokumente nutzt, um das Unternehmen erneut zu erpressen. Inwiefern dies für die Cyberkriminellen erfolgversprechend sein soll, sei dahingestellt.

Aus Saurers Umfeld heisst es, dass die damaligen Lücken in den IT-Systemen geschlossen worden seien und dies auch extern begutachtet worden sei. Falls es einen neuen Hack gegeben habe, müsse es sich um einen völlig neuen Vorfall handeln.

Auf dem Lockbit-Blog läuft der Countdown für Saurer in wenigen Tagen ab. Dann könnte sich zeigen, ob die Kriminellen nur bluffen oder ob Saurer tatsächlich erneut ein Problem hat.

Kriminelle wollten 500’000 Dollar Lösegeld

Der Angriff im Sommer 2021 erfolgte über gestohlene Administrator-Accounts. Es kam mehrere Tage zu Ausfällen. «Wir haben kein Lösegeld bezahlt», sagte Saurer damals gegenüber watson. Die Polizei habe dringend geraten, auf die Mitteilungen der Erpresser nicht einzugehen. Die Ransomware-Bande Karma verlangte laut NZZ 500’000 Dollar. In der Folge veröffentlichte die Kriminellen über 10 Gigabyte an Firmendaten.

Zum angeblich neuen Hack bringt auch das Nationale Zentrum für Cybersicherheit (NCSC) kein Licht ins Dunkel: Das Kompetenzzentrum des Bundes für Cybersicherheit schreibt auf Anfrage, man äussere sich grundsätzlich «nicht zu konkreten Cybervorfällen von Unternehmen» und verweist an Saurer.

Die Kantonspolizei Thurgau schreibt, dass bislang keine Anzeige eingegangen sei, aber auch keine Meldepflicht bestehe. Das NCSC bestätigt, dass es in der Schweiz nach wie vor «keine generelle Meldepflicht für Cybervorfälle» gibt. «Aufgrund der zunehmenden Bedrohung durch Cybervorfälle für Wirtschaft und Bevölkerung möchte der Bundesrat jedoch das Meldewesen stärken», teilt die Behörde mit.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) liess die Anfrage von watson bislang unbeantwortet, ob Saurer in Deutschland erneut einen Cybervorfall gemeldet hat.

In den 1990er-Jahren entwickelte sich Saurer zum grössten Textilmaschinenbauer der Welt. 2013 wurde Saurer an die chinesische Jinsheng-Gruppe verkauft. Am grössten ist Saurer ausser in China in Deutschland, hatte dort allerdings mit grossen finanziellen Schwierigkeiten zu kämpfen.

Lockbit-Bande: Grossmäulig, aber technisch versiert

Der französische Rüstungs- und Raumfahrtkonzern Thales sagte am Montag, man habe noch keine Lösegeldforderung erhalten, nehme die Behauptung der Hacker aber ernst und untersuche die Situation. Das Gleiche sagte Thales im Januar 2022. Damals machten die Cyberkriminellen ihre Drohung wahr und veröffentlichten Daten des Konzerns. Thales bestätigte den Datenabfluss, sprach aber von «Daten mit geringer Sensibilität». Dies könnte auch erklären, warum anscheinend kein Lösegeld bezahlt wurde.

Gegenüber der französischen Zeitung «Le Parisien» sagte der Cybersecurity-Experte Guillaume Maguet Anfang Jahr, die Ransomware-Bande Lockbit habe ihre Beute überbewertet, um einen prominenten Namen auf ihrer Opferliste zu haben. Ihre Verschlüsselungssoftware sei zwar technisch versiert, die Aussagen der Bande seien aber mit Vorsicht zu geniessen.

Eine Anfrage von watson, ob zwischen der Ransomware-Attacke von Anfang 2022 und dem von Lockbit behaupteten neuen Datendiebstahl ein Zusammenhang bestehe, liess Thales bislang unbeantwortet.

Erpressungs-Trojaner für alle

Die Erpresserbande Lockbit betreibt ihren gleichnamigen Verschlüsselungstrojaner Lockbit als Ransomware-as-a-Service. Das heisst, andere Kriminelle können die Erpressungs-Software von den Entwicklern mieten und nach Gutdünken gegen Behörden oder Unternehmen einsetzen. Dies dürfte ein wichtiger Grund sein, warum Ransomware-Angriffe in den letzten Jahren rapide zugenommen haben.

Demonstration der Lockbit-Software, die verschlüsselte Daten wiederherstellt.

Demonstration der Lockbit-Software, die verschlüsselte Daten wiederherstellt.

bleepingcomputer

Die Flut an neuen Lockbit-Opfern im Oktober könnte aber noch einen anderen Grund haben: Im September hat ein angeblich verärgerter Entwickler den Bauplan des neusten Verschlüsselungsprogramms der Bande – Lockbit 3.0 – veröffentlicht. Mit relativ wenig Wissen kann nun jedermann eigene Ransomware-Attacken starten, was die Bedrohung für Unternehmen weiter erhöhen dürfte.

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen

Das Nationale Zentrum für Cybersicherheit NCSC rät von der Zahlung eines Lösegeldes ab und warnt: «Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»

Sollten Opfer dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt das NCSC dringend, diese Schritte mit der Kantonspolizei zu diskutieren.

Auf der Webseite https://www.nomoreransom.org/ gibt es Tipps, um die Schadsoftware zu identifizieren und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.