Lehrstück: Wie Bernina von Cyberkriminellen erpresst wurde – und ihnen trotzte

Der Verhandlungsverlauf zwischen dem Schweizer Unternehmen und einer Ransomware-Bande bietet spannende Einblicke. Am Ende bezahlte Bernina nur 10 Dollar – statt 1,3 Millionen.

3.05.2023
image
Raffiniert: Das Innere einer Bernina-Nähmaschine  |  Bild: PD
Am 5. April wurde der Nähmaschinenhersteller Bernina Opfer der Ransom­ware-Bande Alphv. Das Traditions­unternehmen aus Steckborn (TG) informierte rasch die Behörden und zog externe Security-Spezialisten bei, um die Systeme wiederherzustellen.
Nun zeigen Chatverläufe, die Alphv veröffentlicht hat, wie verhandelt wurde.
Zu «Inside-IT» sagte Bernina Mitte April: Man sei den Lösegeldforderungen der Erpresser nicht nachgekommen. Deshalb wurden am 26. April erste Daten auf der Darknet-Site der Cyberbande veröffentlicht.
200 Gigabyte wollte Alphv erbeutet haben, darunter Geschäftsunterlagen, Ausweiskopien von Mitarbeitenden, Passwörter oder Geheimhaltungserklärungen. Bernina hingegen sagt, das Volumen sei nach Kenntnis der Firma deutlich geringer, als die Erpresser behaupten.

Mit Peitsche…

Unter den bislang publizierten Daten befindet sich der Chatverlauf zwischen den Erpressern und dem Unterhändler bei Bernina. Das meldete der «Beobachter». Das Gespräch beginnt am Tag des Vorfalls und startet mit dem höflichen Hinweis: «Grüsse von Alphv aka Blackcat». Dann folgt aber eine Drohung: Bernina möge den Timer zur Kenntnis nehmen, nach dessen Ablauf der Preis für Encryptor und geklaute Daten dramatisch steige und Massnahmen ergriffen würden. Zudem droht die Bande mit DDoS-Attacken auf die Server der Firma.
Aus dem Verlauf wird auch die Rolle der Medien deutlich. Alphv ist sich der Aufmerksamkeit sehr bewusst und schreibt: «Unser Blog wird täglich von hunderten von Medien-Portalen verfolgt.» Auch sonst nutzt die Bande die mediale Berichterstattung und verlinkt mehrere Artikel über sich selbst bei «Bleeping Computer» und «The Register», um Bernina einzuschüchtern.

…und Zuckerbrot

Sollte aber das Lösegeld eintreffen, verspricht die Bande nicht nur einen Schlüssel und das Löschen der Daten, sondern auch Security-Hinweise für das Unternehmen. Alphv schreibt sogar: «Wenn Sie ein ausgelagertes Recovery-Team benötigen, können wir Ihnen eines vorschlagen, das bereits bei mehreren Einsätzen erfolgreich mit uns zusammengearbeitet hat.»
  • Dieser Beitrag erschien zuerst in unserer Partner-Site «Inside-IT» unter dem Titel «Discount-Preis bei Cyberkriminellen: Bernina-Erpresser veröffentlichen Chatverlauf».
Bernina tut, als ob es kooperiere. Das Schweizer Unternehmen meldet sich mit Fragen, was zu tun sei und welche Daten entwendet wurden. Alphv weist nochmals darauf hin, dass ein Discount gelte, solange der Countdown laufe – ein Muster, das von von Online-Shops inspiriert ist, um Käufer zu raschem Handeln zu motivieren.
Ein «Techniker» von Alphv schickt nun auch eine erste unvollständige Liste mit erbeuteten Daten, Bernina soll davon 3 bis 7 beliebige Files auswählen, um zu sehen, dass Alphv die Informationen wirklich besitzt.
Das unterlässt das Unternehmen.
Die Kriminellen melden sich erneut und erinnern an ihre angeblich sensible Beute. Zudem stellen die Erpresser der Firma einen Link zu einem Chat in Aussicht, der nicht von Strafverfolgern mitgelesen werden könne.
image
Ausschnitt aus dem Chat-Verlauf
Schliesslich schickt Alphv eine Liste mit Bernina-Angestellten und deren Mailadressen. Frage der Bande: «An wen sollen wir uns wenden, um den Stand der Dinge zu erfahren?» Das soll Druck aufsetzen, damit vor dem anstehenden Wochenende Bewegung in die Sache kommt.
Bernina geht nicht darauf ein, sondern schreibt mit Verzögerung zurück: «Danke für die Geduld. Das Management hat entschieden, bis zu 500'000 Dollar für Lösegeld freizugeben.»
Damit gewinnt der Unterhändler Zeit. Die Bande verweist auf den «Discountpreis»: 1,3 Millionen Dollar. Sie gewährt aber nochmals Rabatt darauf. «Wenn Sie damit einverstanden sind, werden wir uns mit der Alphv-Verwaltung in Verbindung setzen und in naher Zukunft das Preisschild durch ein neues mit 10% Rabatt ersetzen», heisst es von der Bande.

«Viel Erfolg beim Treffen»

Bernina beharrt auf dem Angebot des Managements. Und tatsächlich: Die Bande akzeptiert die 500'000 Dollar, will sie in Monero (in Bitcoin 575'000 Dollar) und verlängert den Countdown um 48 Stunden.
Bernina fordert mehr Zeit: Es sei Bankenfeiertag und man habe keinen Bitcoin-Händler erreichen können. Alphv akzeptiert erneut.
Es folgen technische und rechtliche Fragen, Diskussionen um die zusätzlichen 75'000 Dollar. Auch meldet der Unterhändler Bedenken an, das ganze Geld auf einen Schlag zu senden.
Bernina gewinnt weiter Zeit, Alphv verlängert den Countdown erneut.
Nun sieht sich die Bande in die Defensive gedrängt. Nach einigem Hin und Her schreibt sie erneut: «Sind Sie bereit für die Überweisung oder sollen wir die Zeit verlängern?» Bernina überweist 10 Dollar «zu Testzwecken» und erhält dafür einen Test-Schlüssel.
Dieser funktioniere nicht, moniert Bernina und holt weiter Zeit heraus. Das Unternehmen schickt ein JPG, das bei der Entschlüsselung kaputtgegangen sein soll. Es folgen weitere technische Diskussionen über Serverzugang und kaputte Files.
«Das Management beginnt sich Sorgen zu machen», schreibt Bernina. Das ist ein Druckmittel, schliesslich hat es die Hoheit über das Lösegeld. Am 16. April finde ein Meeting der Geschäftsleitung statt.
Am Tag darauf schreibt Alphv: «Guten Morgen, Bernina. Vielen Dank für die Nachricht.» Die Bande weist auf die umfangreichen Daten hin, die sie erbeutet haben will und warnt Bernina vor dem Gang an die Öffentlichkeit. «In Anbetracht der fast dreiwöchigen Reise, die wir gemeinsam zurückgelegt haben, möchten wir den Dialog nicht auf eine negative Art und Weise beenden. Wir wünschen Ihnen viel Erfolg bei dem Treffen», schreibt Alphv.

«Sonst gibt es gar nichts»

Die Systeme seien nun praktisch wiederhergestellt, die 500'000 Dollar viel zu teuer, entgegnet Bernina. Das Management wolle bloss noch 50'000 Dollar freigeben – sonst gebe es gar nichts, schreibt der Unterhändler und ergänzt: «Die Öffentlichkeit wurde letzte Woche über den Anschlag informiert.»
Als Reaktion verlängert Alphv den Timer erneut, hält aber am ursprünglichen Betrag fest und stellt quasi als «Bonus» in Aussicht, alle «Beacons» aus dem System zu entfernen, um künftige Attacken auszuschliessen.
Zahle Bernina nicht, würden die Daten veröffentlicht. Darauf kontert der Nähmaschinenhersteller fast schon mit Witz: «Verstanden, dann veröffentlichen Sie die Daten bitte schnell. Es könnten ja einige Daten dabei sein, die wir brauchen.» Kurz darauf publiziert Alphv erste Daten und eine Liste mit der gesamten Beute. Diese werde versteigert oder publiziert, zudem werde eine DDoS-Attacke gefahren. «Der Rabatt und der Timer sind weiterhin gültig. Wir wünschen Ihnen einen schönen Tag», schliesst Alphv den Chat.
Ob es sich um den gesamten Chatverlauf handelt, ist nicht klar. Bernina wollte sich gegenüber dem «Beobachter» nicht dazu äussern. Die Firma bestätigte lediglich, dass man aus strategischen Gründen mit den Angreifern Kontakt gehabt habe.
Der Schaden in Folge der Attacke sei gering, so ein Pressesprecher.
  • industrie
  • non-food
  • handel
Artikel teilen

Loading

Comment

Home Delivery
1 x pro Woche. Abonnieren Sie unseren Newsletter.

oder

Auch interessant

image

Hero greift in Grossbritannien zu

Die Lenzburger übernehmen Delicously Ella – und wollen der jungen britischen Marke ins globale Geschäft verhelfen.

image

Budget bis 2029 gesetzt: Galaxus setzt weiter aufs Ausland

Die Migros stellte die Europa-Strategie des Online-Händlers auf den Prüfstand – und glaubt daran. Vor allem an Deutschland.

image

Die Firma Zweifel emanzipiert sich von der Kartoffel

Aus «Zweifel Pomy-Chips» wird «Zweifel Chips & Snacks AG». Denn Zweifel ist auch süss und für vielfältige Snacks zu haben.

image

Rossmann startet Schweiz-Expansion im Emmen Center

Die deutsche Drogeriekette wird noch dieses Jahr ein Geschäft mit rund 500 Quadratmeter Fläche und bis zu 15 Mitarbeitern eröffnen.

image

Bericht: Breuninger soll verkauft werden

Und Globus-Mutter Central Group habe Interesse am Mode-Warenhaus-Konzern aus Baden-Württemberg signalisiert.

image

Aldi Suisse: Back to the Kerngeschäft

Der Discounter strafft sein Angebot an Non-Food-Produkten beziehungsweise –Aktionen.