Digital
Schweiz

Massen-Ransomware-Attacke – Schweizer Pharmakonzern angeblich betroffen

Ransomware-Bande Clop attackiert hunderte Firmen – Schweizer Pharma-Multi auf Opferliste

Die Ransomware-Bande Clop behauptet, über eine Sicherheitslücke in einem populären Software-Tool 130 Organisationen rund um den Globus gehackt zu haben. Zu den Betroffenen soll Galderma gehören.
23.03.2023, 20:0724.03.2023, 16:37
Mehr «Digital»

Durch eine Schwachstelle in einem populären Datenübertragungstool ist es zu einer Hacking-Kampagne gegen eine Vielzahl von Unternehmen gekommen. Wie das US-Medium Tech Crunch berichtet, wird die Liste der Opfer von Tag zu Tag länger. Und wie nun befürchtet werden muss, gehört ein Schweizer Pharma-Unternehmen dazu.

Die frühere Nestlé-Tochter Galderma soll angeblich von der Ransomware-Bande Clop attackiert worden sein. Jedenfalls prangt ihr Name auf der Leak-Site im Darknet. Und dazu schreiben die Kriminellen «Coming Soon», was bedeuten soll, dass sie mit der Veröffentlichung von Daten beginnen, wenn das Opfer kein Lösegeld bezahlt.

Galderma wird auf der Darknet-Seite von Clop aufgeführt. Allerdings nennen die Kriminellen als Hauptsitz fälschlicherweise eine Nestlé-Adresse in der Romandie. Und der Netto-Jahresumsatz des Hautpfleg ...
Galderma wird auf der Darknet-Seite von Clop aufgeführt. Allerdings nennen die Kriminellen als Hauptsitz fälschlicherweise eine Nestlé-Adresse in der Romandie. Und der Netto-Jahresumsatz des Hautpflegekonzerns betrug zuletzt 3,76 Milliarden Dollar.screenshot: watson

Was ist passiert?

Im Februar dieses Jahres erwischte es einen der grössten Gesundheitsdienstleister in den Vereinigten Staaten mit fast 80 Spitälern in 16 Bundesstaaten. Das Unternehmen Community Health Systems (CHS) musste einräumen, dass kriminelle Hacker auf die persönlichen und geschützten Gesundheitsinformationen von bis zu einer Million Patientinnen und Patienten zugegriffen und die Daten gestohlen hatten.

Es zeigte sich, dass die Hacker über eine Sicherheitslücke in der populären Dateiübertragungssoftware GoAnywhere in das fremde Computer-Netzwerk eindringen konnten. Die Software wird weltweit von zahlreichen Unternehmen und Organisationen eingesetzt, um Datenmengen sicher versenden.

Es handelte sich um eine sogenannte Zero-Day-Schwachstelle. Das heisst, es gab noch kein Gegenmittel, so dass im Prinzip alle User von GoAnywhere angreifbar waren.

Website von GoAnywhere, Fortra.
Die Sicherheitslücke im Administrations-Zugang zu Goanywhere MFT (Managed File Transfer) kann mit einem Update geschlossen werden.Screenshot: watson

Weltweite Hacking-Kampagne

In der Folge bekannte sich die mit Russland in Verbindung gebrachte Ransomware-Gang Clop, bzw. «Cl0p», auf ihrer Leak-Site im Darknet zu dem Angriff. Und die Kriminellen behaupteten, in einer eigentlichen Hacking-Kampagne über hundert Opfer attackiert und Daten gestohlen zu haben.

Technische Details zu der Zero-Day-Schwachstelle in der GoAnywhere-Software von Fortra wurden erstmals am 2. Februar vom Sicherheitsforscher und Techjournalisten Brian Krebs gemeldet. Die Schwachstelle hat von IT-Sicherheitsexperten die Kennnummer CVE-2023-0669 erhalten.

Gegenüber dem Online-Medium Bleeping Computer liess die Ransomware-Bande etwas später verlauten, dass sie die GoAnywhere-Schwachstelle bereits ausgenutzt habe, um Daten von mehr als 130 Organisationen zu stehlen.

Fortra veröffentlichte am 7. Februar einen Notfall-Patch – Version 7.1.2 – und forderte alle GoAnywhere-User auf, das Update so schnell wie möglich zu installieren.

Was sagt Galderma?

Das Unternehmen mit Hauptsitz in Zug hat bislang nicht auf eine Medienanfrage von watson reagiert.

Der Kommunikationschef des Schweizer Pharmariesen, Christian Marcoux, weigerte sich gegenüber Tech Crunch, Fragen zu beantworten, wie aus einem Bericht hervorgeht.

Galderma war 1981 als Joint Venture von Nestlé und L’Oréal gegründet worden. Produktportfolio, Forschung und Entwicklung sind auf den Bereich Dermatologie ausgerichtet.

Die Produktpalette umfasst Medikamente zur Behandlung von Erkrankungen der Haut, der Haare und der Nägel.

2019 verkaufte Nestlé, das inzwischen Alleineigentümerin war, Galderma an ein internationales Konsortium von Investoren unter anderem aus Abu Dhabi und Singapur. In Berichten ist von einem möglichen Börsengang die Rede.

Das multinationale Unternehmen ist gemäss eigenen Angaben in etwa 90 Ländern weltweit vertreten.

Wie viele Unternehmen sind von der Hacking-Kampagne betroffen?

Das Ausmass von Clops Massen-Ransomware-Attacke lässt sich kaum abschätzen, weil viele der mutmasslich Betroffenen darauf verzichten, öffentlich zu informieren.

TechCrunch will von Dutzenden von Organisationen erfahren haben, die die betroffene GoAnywhere-Dateiübertragungssoftware zum Zeitpunkt des Ransomware-Angriffs verwendet hätten. Dies lasse darauf schliessen, dass wahrscheinlich weitere Opfer hinzukommen werden.

Seit dem Angriff Ende Januar oder Anfang Februar – das genaue Datum sei nicht bekannt – habe Clop weniger als die Hälfte der 130 Organisationen offengelegt, die angeblich über GoAnywhere kompromittiert wurden.

TechCrunch kontaktierte einige Unternehmen, von denen bekannt ist, dass sie GoAnywhere verwenden, die kürzlich zu Clops Leak-Site hinzugefügt wurden. Mehrere hätten geantwortet, dass sie nicht betroffen seien.

Eine Reihe anderer Organisationen, die kürzlich zur Darknet-Site von Clops hinzugefügt wurden, hätten es kategorisch abgelehnt, eine Stellungnahme abzugeben.

Wie gefährlich ist Clop?

Clop gehört zu den aktivsten Ransomware-Banden, die dafür bekannt sind, ihre Opfer zu erpressen, indem sie ihnen drohen, gestohlene Daten zu veröffentlichen.

Die Bande betreibt Ransomware as a Service (RaaS). Ihre kriminellen Partner nehmen speziell Grossunternehmen und internationale Konzerne in Nordamerika, Lateinamerika, im asiatisch-pazifischen Raum und in Europa ins Visier. Die Mitglieder sprechen laut IT-Sicherheitsexperten russisch.

Bei einer koordinierten Polizeiaktion gegen die Ransomware-Bande Clop fanden ukrainische Polizisten 2021 unter anderem erhebliche Bargeldmengen.
Bei einer koordinierten Polizeiaktion gegen die Ransomware-Bande fanden ukrainische Polizisten 2021 unter anderem erhebliche Bargeldmengen.Bild: PD

In einigen Fällen wurden die Opfer mit Daten erpresst, die möglicherweise nicht selber erbeutet, sondern von anderen Hackern gekauft wurden. Das vermuteten US-amerikanische Sicherheitsforscher unter anderem im Fall des kanadischen Flugzeugbauers Bombardier. Die damaligen Opfer-Daten wurden offenbar über ein gehacktes Softwaretool der kalifornischen Firma Accellio gestohlen – dieses Tool wurde zur Verwaltung grosser E-Mail-Anhänge verwendet.

Im Juni 2021 wurden in der Ukraine sechs Verdächtige festgenommen, die der kriminellen Vereinigung angehören sollen. Die Festnahmen erfolgten im Rahmen einer gemeinsamen Ermittlungs-Operation von Strafverfolgungsbehörden in der Ukraine, Südkorea und den Vereinigten Staaten.

Clop gilt als Nachfolgerin der Ransomware CryptoMix, die mutmasslich in Russland entwickelt wurde.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
«Wir wurden von den Russen beschossen» – Schweizer Kriegsfotograf erzählt
Video: watson
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
1 Kommentar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1
Züri-West-Sänger Kuno Lauener erhält Ehrendoktortitel der Uni Bern

Die Universität Bern verleiht heute den Ehrendoktortitel an Kuno Lauener. Sie ehrt den Sänger und Songschreiber der Band Züri West für sein poetisches Schaffen und seinen Beitrag zum sprachlichen Kulturgut der Berner Mundart, wie sie bekanntgab.

Zur Story