Durch eine Schwachstelle in einem populären Datenübertragungstool ist es zu einer Hacking-Kampagne gegen eine Vielzahl von Unternehmen gekommen. Wie das US-Medium Tech Crunch berichtet, wird die Liste der Opfer von Tag zu Tag länger. Und wie nun befürchtet werden muss, gehört ein Schweizer Pharma-Unternehmen dazu.
Die frühere Nestlé-Tochter Galderma soll angeblich von der Ransomware-Bande Clop attackiert worden sein. Jedenfalls prangt ihr Name auf der Leak-Site im Darknet. Und dazu schreiben die Kriminellen «Coming Soon», was bedeuten soll, dass sie mit der Veröffentlichung von Daten beginnen, wenn das Opfer kein Lösegeld bezahlt.
Im Februar dieses Jahres erwischte es einen der grössten Gesundheitsdienstleister in den Vereinigten Staaten mit fast 80 Spitälern in 16 Bundesstaaten. Das Unternehmen Community Health Systems (CHS) musste einräumen, dass kriminelle Hacker auf die persönlichen und geschützten Gesundheitsinformationen von bis zu einer Million Patientinnen und Patienten zugegriffen und die Daten gestohlen hatten.
Es zeigte sich, dass die Hacker über eine Sicherheitslücke in der populären Dateiübertragungssoftware GoAnywhere in das fremde Computer-Netzwerk eindringen konnten. Die Software wird weltweit von zahlreichen Unternehmen und Organisationen eingesetzt, um Datenmengen sicher versenden.
Es handelte sich um eine sogenannte Zero-Day-Schwachstelle. Das heisst, es gab noch kein Gegenmittel, so dass im Prinzip alle User von GoAnywhere angreifbar waren.
In der Folge bekannte sich die mit Russland in Verbindung gebrachte Ransomware-Gang Clop, bzw. «Cl0p», auf ihrer Leak-Site im Darknet zu dem Angriff. Und die Kriminellen behaupteten, in einer eigentlichen Hacking-Kampagne über hundert Opfer attackiert und Daten gestohlen zu haben.
Technische Details zu der Zero-Day-Schwachstelle in der GoAnywhere-Software von Fortra wurden erstmals am 2. Februar vom Sicherheitsforscher und Techjournalisten Brian Krebs gemeldet. Die Schwachstelle hat von IT-Sicherheitsexperten die Kennnummer CVE-2023-0669 erhalten.
Gegenüber dem Online-Medium Bleeping Computer liess die Ransomware-Bande etwas später verlauten, dass sie die GoAnywhere-Schwachstelle bereits ausgenutzt habe, um Daten von mehr als 130 Organisationen zu stehlen.
Fortra veröffentlichte am 7. Februar einen Notfall-Patch – Version 7.1.2 – und forderte alle GoAnywhere-User auf, das Update so schnell wie möglich zu installieren.
Das Unternehmen mit Hauptsitz in Zug hat bislang nicht auf eine Medienanfrage von watson reagiert.
Der Kommunikationschef des Schweizer Pharmariesen, Christian Marcoux, weigerte sich gegenüber Tech Crunch, Fragen zu beantworten, wie aus einem Bericht hervorgeht.
Galderma war 1981 als Joint Venture von Nestlé und L’Oréal gegründet worden. Produktportfolio, Forschung und Entwicklung sind auf den Bereich Dermatologie ausgerichtet.
Die Produktpalette umfasst Medikamente zur Behandlung von Erkrankungen der Haut, der Haare und der Nägel.
2019 verkaufte Nestlé, das inzwischen Alleineigentümerin war, Galderma an ein internationales Konsortium von Investoren unter anderem aus Abu Dhabi und Singapur. In Berichten ist von einem möglichen Börsengang die Rede.
Das multinationale Unternehmen ist gemäss eigenen Angaben in etwa 90 Ländern weltweit vertreten.
Das Ausmass von Clops Massen-Ransomware-Attacke lässt sich kaum abschätzen, weil viele der mutmasslich Betroffenen darauf verzichten, öffentlich zu informieren.
TechCrunch will von Dutzenden von Organisationen erfahren haben, die die betroffene GoAnywhere-Dateiübertragungssoftware zum Zeitpunkt des Ransomware-Angriffs verwendet hätten. Dies lasse darauf schliessen, dass wahrscheinlich weitere Opfer hinzukommen werden.
Seit dem Angriff Ende Januar oder Anfang Februar – das genaue Datum sei nicht bekannt – habe Clop weniger als die Hälfte der 130 Organisationen offengelegt, die angeblich über GoAnywhere kompromittiert wurden.
TechCrunch kontaktierte einige Unternehmen, von denen bekannt ist, dass sie GoAnywhere verwenden, die kürzlich zu Clops Leak-Site hinzugefügt wurden. Mehrere hätten geantwortet, dass sie nicht betroffen seien.
Eine Reihe anderer Organisationen, die kürzlich zur Darknet-Site von Clops hinzugefügt wurden, hätten es kategorisch abgelehnt, eine Stellungnahme abzugeben.
Clop gehört zu den aktivsten Ransomware-Banden, die dafür bekannt sind, ihre Opfer zu erpressen, indem sie ihnen drohen, gestohlene Daten zu veröffentlichen.
Die Bande betreibt Ransomware as a Service (RaaS). Ihre kriminellen Partner nehmen speziell Grossunternehmen und internationale Konzerne in Nordamerika, Lateinamerika, im asiatisch-pazifischen Raum und in Europa ins Visier. Die Mitglieder sprechen laut IT-Sicherheitsexperten russisch.
In einigen Fällen wurden die Opfer mit Daten erpresst, die möglicherweise nicht selber erbeutet, sondern von anderen Hackern gekauft wurden. Das vermuteten US-amerikanische Sicherheitsforscher unter anderem im Fall des kanadischen Flugzeugbauers Bombardier. Die damaligen Opfer-Daten wurden offenbar über ein gehacktes Softwaretool der kalifornischen Firma Accellio gestohlen – dieses Tool wurde zur Verwaltung grosser E-Mail-Anhänge verwendet.
Im Juni 2021 wurden in der Ukraine sechs Verdächtige festgenommen, die der kriminellen Vereinigung angehören sollen. Die Festnahmen erfolgten im Rahmen einer gemeinsamen Ermittlungs-Operation von Strafverfolgungsbehörden in der Ukraine, Südkorea und den Vereinigten Staaten.
Clop gilt als Nachfolgerin der Ransomware CryptoMix, die mutmasslich in Russland entwickelt wurde.
