Der Verhandlungsverlauf bietet lehrreiche Einblicke in die Taktik der Ransomware-Bande Alphv. Und er zeigt, warum Bernina nur 10 Dollar statt 1,3 Millionen bezahlt hat.
Am 5. April wurde der Nähmaschinenhersteller Bernina Opfer der Ransomware-Bande Alphv. Das Traditionsunternehmen aus Steckborn (TG) informierte rasch die Behörden und zog externe Security-Spezialisten bei, um die Systeme wiederherzustellen. Nun zeigen Chatverläufe, die Alphv veröffentlicht hat, wie verhandelt wurde.
Zu inside-it.ch sagte Bernina Mitte April: Man sei den Lösegeldforderungen der Erpresser nicht nachgekommen. Deshalb wurden am 26. April erste Daten auf der Darknetsite der Cyberbande veröffentlicht. 200 Gigabyte wollte diese erbeutet haben, darunter Geschäftsunterlagen, Ausweiskopien von Mitarbeitenden, Passwörter oder Geheimhaltungserklärungen. Bernina hingegen sagt, das Volumen sei nach Kenntnis der Firma deutlich geringer, als die Erpresser behaupten.
Drohung mit DDoS-Attacke
Unter den bislang publizierten Daten befindet sich der Chatverlauf zwischen den Erpressern und dem Unterhändler bei Bernina. Das ist dem 'Beobachter' aufgefallen. Das Gespräch beginnt am Tag des Vorfalls und startet mit dem höflichen Hinweis: "Grüsse von Alphv aka Blackcat". Daran schliesst aber eine Drohung an: Bernina möge den Timer zur Kenntnis nehmen, nach dessen Ablauf der Preis für Encryptor und geklaute Daten dramatisch steige und Massnahmen ergriffen würden. Zudem droht die Bande mit DDoS-Attacken auf die Server der Firma.
Aus dem Verlauf wird auch die Rolle der Medien deutlich. Alphv ist sich der Aufmerksamkeit sehr bewusst und schreibt: "Unser Blog wird täglich von hunderten von Medien-Portalen verfolgt". Auch sonst nutzt die Bande die mediale Berichterstattung und verlinkt mehrere Artikel über sich selbst bei 'Bleeping Computer' und 'The Register', um Bernina einzuschüchtern.
Sollte aber das Lösegeld eintreffen, verspricht die Bande nicht nur einen Schlüssel und das Löschen der Daten, sondern auch Security-Hinweise für das Unternehmen. Alphv schreib sogar: "Wenn Sie ein ausgelagertes Recovery-Team benötigen, können wir Ihnen eines vorschlagen, das bereits bei mehreren Einsätzen erfolgreich mit uns zusammengearbeitet hat."
Dark Pattern von Alphv
Bernina meldet sich mit Fragen, was zu tun sei und welche Daten entwendet wurden. Alphv weist nochmals darauf hin, dass ein Discount gelte, solange der Countdown laufe. Ein Dark Pattern, inspiriert von Online-Shops, um Käufer zu raschem Handeln zu nötigen. Ein "Techniker" von Alphv schickt nun auch eine erste unvollständige Liste mit erbeuteten Daten, Bernina soll davon 3 bis 7 beliebige Files auswählen, um zu sehen, dass Alphv die Informationen wirklich besitzt.
Das unterlässt das Unternehmen.
Ausschnitt aus dem englischsprachigen Chatverlauf.
Die Kriminellen melden sich erneut und erinnern an ihre angeblich sensible Beute. Zudem stellen die Erpresser der Firma einen Link zu einem Chat in Aussicht, der nicht von Strafverfolgern mitgelesen werden könne. Schliesslich schickt Alphv eine Liste mit Bernina-Angestellten und deren Mailadressen. Frage der Bande: "An wen sollen wir uns wenden, um den Stand der Dinge zu erfahren"? Das soll Druck aufsetzen, damit vor dem anstehenden Wochenende Bewegung in die Sache kommt.
Bernina geht nicht darauf ein, sondern schreibt später zurück: "Danke für die Geduld. Das Management hat entschieden, bis zu 500'000 Dollar für Lösegeld freizugeben." Damit gewinnt der Unterhändler Zeit. Die Bande verweist auf den "Discountpreis": 1,3 Millionen Dollar, gewährt aber nochmals Rabatt darauf. "Wenn Sie damit einverstanden sind, werden wir uns mit der Alphv-Verwaltung in Verbindung setzen und in naher Zukunft das Preisschild durch ein neues mit 10% Rabatt ersetzen", heisst es von der Bande.
Alphv: "Viel Erfolg beim Treffen"
Bernina beharrt auf dem Angebot des Managements. Und tatsächlich: Die Bande akzeptiert die 500'000 Dollar, will sie in Monero (in Bitcoin 575'000 Dollar) und verlängert den Countdown um 48 Stunden. Bernina fordert mehr Zeit: Es sei Bankenfeiertag und man habe keinen Bitcoin-Händler erreichen können. Alphv akzeptiert. Es folgen technische und rechtliche Fragen, Diskussionen um die zusätzlichen 75'000 Dollar. Auch meldet der Unterhändler Bedenken an, das ganze Geld auf einen Schlag zu senden. Bernina gewinnt weiter Zeit, Alphv verlängert den Countdown erneut.
Nun sieht sich die Bande in die Defensive gedrängt. Nach einigem Hin und Her schreibt sie erneut: "Sind Sie bereit für die Überweisung oder sollen wir die Zeit verlängern?" Bernina überweist 10 Dollar "aus Testzwecken" und erhält dafür einen Test-Schlüssel. Dieser funktioniere nicht, moniert Bernina und holt weiter Zeit heraus, schickt ein JPG, das bei der Entschlüsselung kaputtgegangen sein soll. Es folgen weitere technische Diskussionen über Serverzugang und kaputte Files.
"Das Management beginnt sich Sorgen zu machen", schreibt Bernina. Das ist ein Druckmittel, dieses hat schliesslich die Hoheit über das Lösegeld. Es finde ein Meeting der Geschäftsleitung am 16. April statt. Am Tag darauf schreibt Alphv: "Guten Morgen, Bernina. Vielen Dank für die Nachricht." Die Bande weist auf die umfangreichen Daten hin, die sie erbeutet haben will und warnt Bernina vor dem Gang an die Öffentlichkeit. "In Anbetracht der fast dreiwöchigen Reise, die wir gemeinsam zurückgelegt haben, möchten wir den Dialog nicht auf eine negative Art und Weise beenden. Wir wünschen Ihnen viel Erfolg bei dem Treffen", schreibt Alphv.
Bernina: "Sonst gibt es gar nichts"
Die Systeme seien nun praktisch wiederhergestellt, die 500'000 Dollar viel zu teuer, entgegnet Bernina. Das Management wolle bloss noch 50'000 Dollar freigeben – sonst gebe es gar nichts, schreibt der Unterhändler und ergänzt: "Die Öffentlichkeit wurde letzte Woche über den Anschlag informiert." Als Reaktion verlängert Alphv den Timer erneut, hält aber am ursprünglichen Betrag fest und stellt quasi als "Bonus" in Aussicht, alle "Beacons" aus dem System zu entfernen, um künftige Attacken auszuschliessen.
Zahle Bernina nicht, würden die Daten veröffentlicht. Darauf heisst es vom Nähmaschinenhersteller: "Verstanden, dann veröffentlichen Sie die Daten bitte schnell. Es könnten ja einige Daten dabei sein, die wir brauchen". Kurz darauf publiziert Alphv erst Daten und eine Liste mit der gesamten Beute. Diese werde versteigert oder publiziert, zudem werde eine DDoS-Attacke gefahren. "Der Rabatt und der Timer sind weiterhin gültig. Wir wünschen Ihnen einen schönen Tag", schliesst Alphv den Chat.
Ob es sich um den gesamten Chatverlauf handelt, ist nicht klar. Bernina wollte sich gegenüber dem 'Beobachter' nicht dazu äussern. Die Firma bestätigte lediglich, dass man aus strategischen Gründen mit den Angreifern Kontakt gehabt habe. Der Schaden in Folge der Attacke sei gering, so ein Pressesprecher.