Technologie-Konzern Saurer gehackt: Heikle Daten im Darknet geleakt
Wie "Watson"-Recherchen zeigen, hat eine kaum bekannte Erpresserbande damit begonnen, Geschäftsunterlagen des Industrieunternehmens Saurer im Darknet zu veröffentlichen. Ein Verantwortlicher der Saurer Group nimmt Stellung.
Interne Dokumente der Saurer Group sind im Darknet zugänglich: Der aus dem Schweizer Traditionsunternehmen hervorgegangene Technologie-Konzern ist offenbar von einem Datendiebstahl unbekannten Ausmasses betroffen.
Tausende Dateien sind von einer relativ unbekannten Ransomware-Bande namens "KARMA" veröffentlicht worden. Weitere Leaks könnten folgen.
Bei der Saurer Group handelt sich um eines der bis dato bekanntesten und grössten Opfer einer Ransomware-Attacke. Der Konzern hat einen Jahresumsatz von über einer Milliarde Franken und weltweit fast 5000 Angestellte.
Saurer Group bestätigt Attacke
Peter Trinkl, Chief Strategy Officer und Chief Information Officer bei der Saurer Group, hat am Donnerstagmorgen gegenüber "Watson" den Hackerangriff bestätigt. "Wir waren um den 1. August herum von einer Ransomware-Attacke betroffen", sagte der Manager am Telefon. Von der Veröffentlichung im Darknet kenne er hingegen noch keine Details.
Der Hackerangriff, respektive die Attacke, habe primär in Deutschland (in den dortigen Rechenzentren) stattgefunden. Darum seien auch die in Deutschland zuständigen Behörden informiert worden, namentlich die Polizei sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Es seien "einige, aber nicht alle Systeme betroffen" gewesen, sagt der Saurer-Manager. Das Unternehmens-Netzwerk sei während vier Tagen isoliert worden – und dann nach einem "Clean-Up" wieder Server für Server aufgeschaltet worden. "Wir haben kein Lösegeld bezahlt", betont der Manager. "Die Polizei hat uns dringend geraten, auf die Mitteilungen der Erpresser nicht einzugehen."
Die Untersuchungen würden noch laufen. Das ganze Ausmass des Datenlecks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern.
"Das nächste Leak wird das eines milliardenschweren Kosmetik- und Parfümunternehmens sein."
Ankündigung von Karma im Darknet.
Die Recherchen zeigen, dass sich unter dem zur Saurer Group geleakten Material zahlreiche Exceltabellen, Mitarbeiterlisten und Finanzdokumente befinden. Ob alle vom Datenabfluss betroffen Angestellten, Kunden und Geschäftspartner gewarnt wurden, ist nicht bekannt.
Die Kriminellen begannen am Mittwoch damit, erste Dateien im Darknet zu veröffentlichen, wie die IT-Sicherheitsfirma DarkTracer via Twitter informierte. Es handelte sich zunächst um eine Datenmenge von über 10 Gigabyte.
Wer sind die Angreifer?
Zu Karma ist relativ wenig bekannt. Der erste Eintrag auf der von der Gruppierung betriebenen Darknet-Leak-Site datiert vom 22. Mai 2021. Die ersten Veröffentlichungen von Opfer-Daten erfolgten am Mittwoch, 1. September.
An ihre Opfer gerichtet, lassen die unbekannten Kriminellen auf ihrem Darknet-Blog verlauten:
"Wenn Sie sich auf dieser Website befinden, wurde Ihr Netzwerk von der Ransomware-Gruppe Karma angegriffen. Setzen Sie sich mit uns in Verbindung, um die Bedingungen für die Rückgängigmachung des von uns verursachten Schadens und die Löschung der von uns heruntergeladenen Daten auszuhandeln. Wir raten Ihnen, keine Datenwiederherstellungstools zu verwenden, ohne Kopien der ursprünglich verschlüsselten Datei zu hinterlassen. Sie riskieren damit eine irreversible Beschädigung der Datei."
Als zweites (angebliches) Opfer wird im Karma-Leaks-Blog die kalifornische Firma Align Technology aufgeführt. Dabei handelt es sich um ein noch grösseres Industrieunternehmen mit einem Jahresumsatz von fast 2,5 Milliarden Dollar.
Die Kriminellen kündigen auf ihrem über die Anonymisierungs-Software Tor erreichbaren Blog zudem an, sie hätten ein weiteres Grossunternehmen gehackt und wollten gestohlene Dokumente veröffentlichen: "Der nächste Leak wird das eines milliardenschweren Kosmetik- und Parfümunternehmens sein", drohen sie an.
Mehr Angriffe
Kürzlich machte "Watson" einen Hackerangriff auf das Schweizer Industrieunternehmen Habasit publik. Auch beim Weltmarktführer für Transportbänder und Antriebsriemen veröffentlichten die Angreifer Daten im Darknet. Die betroffene Unternehmensführung gab keine Stellungnahme ab.
Hinter der Habasti-Attacke steckte die berüchtigte Internet-Erpresserbande Conti (früher als Ryuk bekannt), die auch schon die Server des irischen Gesundheitssystems sowie die Technische Universität Berlin lahmgelegt hatten.
Hintergrund von Saurer
Saurer wurde 1853 in Arbon TG von Franz Saurer als Eisengiesserei gegründet. In den 1990er-Jahren entwickelte sich das Unternehmen zum grössten Textilmaschinenbauer der WeltHeute zählt der Konzern 4200 Angestellte weltweit.
2007 wurde Saurer an OC Oerlikon verkauft, 2013 an die chinesische Jinsheng-Gruppe. Diese brachte Saurer in Schanghai an die Börse, ist aber weiterhin grösste Aktionärin.
"Pandemie, Logistikprobleme, Schrumpfung der Weltwirtschaft, Zurückhaltung der Textilindustrie bei Investitionen – 2020 ist Saurer in mancherlei Hinsicht das Geschäft vermiest worden", kommentierte das Schweizer "Tagblatt".
Am grössten ist Saurer ausser in China in Deutschland, hatte dort allerdings mit grossen finanziellen Schwierigkeiten zu kämpfen. Zuletzt sorgte der Konzern mit zwei Firmen-Verkäufen an den Winterthurer Textilmaschinenhersteller Rieter für Schlagzeilen. Mit dem Zufluss dieser Mittel sollen die finanziellen Probleme in Deutschland gelöst werden.
Partner
Wie der IT-Arbeitsplatz von morgen gemäss HP aussieht
Update: Österreichischer Investor übernimmt Devolo
TIM und Veritas: Der ultimative Schutz vor Ransomware-Angriffen für Schweizer Unternehmen
Die wichtigsten Werkzeuge für die Abwehr
Endpoint Detection and Response als Managed Service nutzen
"Wir suchen Partner, die wachsen möchten"
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Cybersicherheit mit Infinigate Cloud
Umfassende Cybersicherheit für OT-Umgebungen
