Die Ransomware-Bande Clop hat ihre Drohung wahr gemacht: Auf der Leak-Site der berüchtigten Cyberkriminellen prangten am Donnerstag zahlreiche Namen von zum Teil sehr bekannten Unternehmen. Unter ihnen: das weltgrösste Mineralöl- und Erdgasunternehmen Shell, aber auch die Schweizer Krankenversicherung ÖKK und die unter anderem auch hierzulande tätige Ferienpark-Betreiberin Landal.
Der Datenabfluss hält sich bislang in Grenzen, wie Recherchen von watson zeigen. Weitere Opfer dürften folgen.
Letzte Woche hatte die russischsprachige Bande auf ihrer Leak-Site im Darknet verlauten lassen, dass sie dank einer kaum bekannten Schwachstelle in einem Datei-Übertragungs-Tool massenhaft Unternehmen gehackt habe. Die Cyberkriminellen nannten damals keine Namen, sondern forderten Betroffene, die das entsprechende Software-Tool einsetzten, auf, sich bis spätestens am 14. Juni 2023 zu melden.
Wichtig zu wissen: Es handelt sich nicht um Ransomware-Attacken, bei denen die Angreifer die IT-Systeme ihrer Opfer mit einer Schadsoftware zu verschlüsseln versuchen.
Die Täter nutzten Schwachstellen in der Software MOVEit Transfer aus, um heimlich Daten von den Servern zu stehlen. Und nun drohen sie im Zuge der «Hack and Leak»-Attacke mit der Veröffentlichung der Daten im Darknet.
watson hat beim Schweizer Krankenversicherer ÖKK nachgefragt. Das Bündner Unternehmen bestätigt einen entsprechenden Cyberangriff in Zusammenhang mit der Datei-Übertragungs-Software MOVEit Transfer.
«Wir gehören zu den mutmasslich vielen Betroffenen. Unser Kernsystem mit den Gesundheitsdaten ist nicht betroffen», erklärt Patrick Eisenhut, Leiter Kommunikation, ÖKK. Es seien Personendaten wie Vorname und Name betroffen.
«Wir haben Sofortmassnahmen ergriffen und arbeiten mit externen Partnern zusammen», sagt der ÖKK-Mediensprecher. Die Cybersicherheits-Spezialisten hätten «so weit bereits Entwarnung gegeben» und man habe die betroffene Plattform (MOVEit Transfer) wieder hochgefahren.
Die Partnerorganisationen seien bereits informiert worden, man prüfe derzeit, die Kundinnen und Kunden auch noch direkt zu informieren.
ÖKK ist gemäss Beschreibung auf seiner Website ein schweizweit tätiges Versicherungsunternehmen mit 30 Agenturen. Kundschaft: Rund 190’000 Privatpersonen sowie 13’000 Firmen und öffentliche Institutionen. Das jährliche Prämienvolumen belaufe sich auf 800 Millionen Franken. ÖKK beschäftige rund 490 Mitarbeitende und rund 15 Lernende.
Simone Clemens, Mediensprecherin von Landal GreenParks, bestätigt auf Anfrage von watson, dass das Unternehmen die weltweit eingesetzte Software von MOVEit nutze. Wie in den Nachrichten zu vernehmen gewesen sei, sei es Cyberkriminellen gelungen, diese Software zu hacken.
Man habe vorsichtshalber die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) und die Gäste informiert. Ausserdem habe man den betreffenden Server sofort abgeschaltet und neu konfiguriert, «um sicherzustellen, dass Unbefugte keinen Zugriff mehr haben».
Die Mediensprecherin erklärt:
Landal GreenParks ist ein niederländisches Touristikunternehmen, das in Europa eine Kette von Ferienparks betreibt und auch in der Schweiz Übernachtungsmöglichkeiten anbietet, am Vierwaldstättersee und in Graubünden.
Das ist nicht bekannt. Hunderte Unternehmen und Organisationen rund um den Globus haben die Datei-Übertragungs-Software MOVEit Transfer laut Berichten eingesetzt.
Auf der Darknet-Seite von Clop werden bislang einige neue Namen aufgeführt, darunter:
Wie das Beispiel ÖKK zeigt, ist fraglich, ob es bei diesen Organisationen zu grösseren Datenabflüssen kam.
«Definitiv», sagt der Schweizer IT-Sicherheitsexperte Marc Ruef.
Das Abschätzen von Umfang und Auswirkungen der Clop-Massen-Attacke sei sehr schwierig. Ein «Exploiting» (Ausnützen der Schwachstelle) habe schon sehr früh angefangen und viele Firmen auf dem falschen Fuss erwischt.
