Eine gefährliche Schwachstelle in einer bei tausenden Unternehmen genutzten Software ist von der Ransomware-Bande Clop für massenhafte Angriffe ausgenutzt worden. Auch in der Schweiz ist mit Opfern zu rechnen. Der IT-Sicherheitsexperte Marc Ruef erklärt, womit wir es zu tun haben.
Auf der Darknet-Seite der Ransomware-Bande Clop prangte am Mittwoch eine aussergewöhnliche Drohung. Die unbekannten Cyberkriminellen behaupten, sie hätten dank einer nicht geschlossenen IT-Sicherheitslücke bei zahlreichen Unternehmen «eine Menge Daten» gestohlen.
Das Vorgehen ist sehr speziell. Normalerweise veröffentlichen Ransomware-Banden auf ihren Darknet-Seiten die Namen einzelner Opfer, um sie unter Druck zu setzen.
Doch die aktuelle Drohung richtet sich gleichzeitig an eine Vielzahl von Unternehmen, die die kommerzielle Software «MOVEit Transfer» verwenden. Laut dem Hersteller, dem US-Unternehmen Ipswitch, das wiederum zum US-Unternehmen Progress Software gehört, ist es «die führende Managed File Transfer (MFT)-Software». Diese werde von tausenden Unternehmen auf der ganzen Welt genutzt.
Dass die Drohung ernst genommen werden muss, belegen aktuelle Fälle, die bereits publik gemacht wurden. In Grossbritannien sind unter anderem das Medienhaus BBC, die Fluggesellschaft British Airways und die Drogeriekette Boots mit insgesamt mehr als 100'000 Angestellten betroffen.
Ebenso betroffen seien die US-Universität Rochester, die irische Fluglinie Aer Lingus und die Regierung der kanadischen Provinz Nova Scotia. Viele weitere könnten folgen.
Die Hackerbande Clop schreibt, sie habe ein «aussergewöhnliches» Angriffswerkzeug (Exploit) entwickelt, um die Schwachstelle auszunutzen und Daten zu stehlen. Wer «MOVEit Transfer» verwendet und die Schwachstelle nicht rechtzeitig behoben hat, muss mit dem Schlimmsten rechnen.
Dazu IT-Sicherheitsexperte Marc Ruef:
Zuvor hatte das Nationale Zentrum für Cybersicherheit (NCSC) öffentlich gewarnt: Die IT-Sicherheitsexperten des Bundes teilten am Montag mit, sie hätten Kenntnis von Opfern in der Schweiz, die «erfolgreich kompromittiert» wurden.
Was die wichtigsten Ereignisse seit Bekanntwerden der Cyberangriffe betrifft, folgt am Artikel-Ende eine Timeline.
An eine unbekannte Zahl von Unternehmen, die die «MOVEit»-Software verwenden und gehackt wurden.
Clop will die Zahl der Unternehmen, deren Server es weltweit plündern konnte, nicht bekannt geben. Es ist davon auszugehen, dass inzwischen Verhandlungen zwischen den Tätern und manchen Opfern laufen. Wer kein Lösegeld bezahlen will, soll ab dem 14. Juni auf der sogenannten Data Leak Site (DLS) im Darknet angeprangert werden. Ausserdem sollen dort gestohlene Dateien publiziert werden.
Die Cyberkriminellen behaupten, sie würden ausschliesslich privatwirtschaftliche Unternehmen erpressen.
Dazu sagt Sicherheitsexperte Marc Ruef:
Viele deutsche Unternehmen und Behörden müssten derzeit ebenfalls einen möglichen Datenabfluss prüfen oder hätten dies bereits getan, berichtete das IT-Newsportal heise.de am Mittwoch. «Manche von der Sicherheitslücke Betroffene wollten sich dazu nicht äussern.» Allein in Deutschland seien potenziell über 100 Systeme betroffen, weltweit 2500.
Das ist nicht öffentlich bekannt.
Sicherheitsexperte Marc Ruef:
Mehrere grosse Unternehmen zählen gemäss hiesigen Software-Anbietern zu den Kunden, die die «MOVEit Transfer»-Software nutzen. Unter anderem sollen Swissport, Schindler und die Kantonspolizei St.Gallen damit arbeiten.
Swissport-Sprecher Stefan Hartung schreibt:
Die St.Galler Kantonspolizei teilt mit, man gehe «aufgrund von Sicherheitsüberlegungen» nicht darauf ein, ob ein bestimmtes Software-Produkt verwendet werde, oder nicht. Auf Drohungen lasse man sich generell nicht ein. Und:
Auch Schindler-Sprecher Roman Schenkel gibt nach umfassenden internen Abklärungen Entwarnung:
Dabei handelt es sich um eine mutmasslich aus Russland stammende Gruppierung von Cyberkriminellen. Diese ist schon seit Jahren aktiv und gilt wegen der technischen Fertigkeiten ihrer Mitglieder als brandgefährlich.
Die Durchführung von Angriffen rund um Feiertage ist eine gängige Taktik der Clop-Bande. Dies, weil an arbeitsfreien Tagen die Belegschaft auf ein Minimum reduziert ist.
Am 23. Dezember 2020 nutzten Clop-Hacker eine Zero-Day-Schwachstelle des Software-Anbieters Accellion, um gleich zu Beginn der Weihnachtsfeiertage Daten zu stehlen.
Im März dieses Jahres begann die Clop-Bande damit, weltweit Unternehmen zu erpressen, deren Daten sie zuvor mithilfe einer Zero-Day-Schwachstelle in der File-Sharing-Lösung Fortra GoAnywhere MFT gestohlen hatte.
Clop zählte zu den Anbietern von Ransomware-as-a-Service (RaaS). Das heisst, Entwickler stellen die für die Hackerangriffe und Erpressungen benötigte IT-Infrastruktur Dritten gegen eine finanzielle Beteiligung zur Verfügung.
Zuletzt liessen die Cyberkriminellen gegenüber BleepingComputer verlauten, dass sie sich auf Datendiebstahl und damit verbundene Erpressungen konzentrieren. Demnach würden sie auf Verschlüsselungsattacken verzichten.
Die Ransomware-Bande Clop beginnt während des langen Pfingstwochenendes (am Pfingstmontag war auch noch der US-Feiertag Memorial Day) mit der Ausnutzung einer Sicherheitslücke in der «MOVEit Transfer»-Software. Dies sagt später ein Sprecher der Bande zu BleepingComputer.
Das US-Unternehmen Progress schreibt in einem Advisory, dass es eine Schwachstelle in der «MOVEit Transfer»-Software entdeckt habe, die «zu erweiterten Privilegien und potenziell unberechtigtem Zugriff auf die Umgebung führen könnte». Kundinnen und Kunden werden aufgefordert, den Internetverkehr rund um das Programm zu deaktivieren.
Der Sicherheitslücke in der «MOVEit Transfer»-Software wird die Kennnummer CVE-2023-34362 zugewiesen. Es handelt sich um eine bis dato unbekannte Schwachstelle. Die Software-Anbieterin veröffentlicht erste Patches, um die bestehende Bedrohungslage zu entschärfen.
Die US-amerikanische Bundesbehörde CISA (Cybersecurity & Infrastructure Security Agency) ruft Unternehmen auf, Abwehrmassnahmen wegen der Bedrohung zu treffen.
Die Schwachstelle betrifft laut dem Sicherheitsforscher Kevin Beaumont auch Kunden, die auf die Cloud-Plattform «MOVEit Transfer» angewiesen sind. Mindestens eine exponierte Server-Instanz sei mit dem US-Ministerium für Heimatschutz verbunden und mehrere «grosse Banken» sind laut Beaumont ebenfalls als «MOVEit»-Kunden betroffen.
Als erstes Medium berichtet BleepingComputer, Hacker nutzten aktiv «eine Zero-Day-Schwachstelle» in der Dateiübertragungssoftware, um Daten von Organisationen zu stehlen.
Das nationale Cybersicherheits-Zentrum NCSC warnt in einer Mitteilung, es habe Kenntnis von Opfern in der Schweiz, welche erfolgreich kompromittiert worden seien.
Am selben Tag berichtet Tech Crunch, Hacker hätten eine weitere Welle von Massen-Hacks gestartet, um die Schwachstelle in «MOVEit Transfer» auszunutzen.
IT-Sicherheitsexperten von Microsoft schreiben die Angriffe der Cybercrime-Gruppe «Lace Tempest» zu. Diese sei für Ransomware-Operationen bekannt und betreibe die Erpresser-Website Clop. Der Bedrohungsakteur habe in der Vergangenheit ähnliche Schwachstellen genutzt, um Daten zu stehlen und Opfer zu erpressen, heisst es via Twitter.
Das Cybersecurity-Startup Huntress schreibt in einem Blogbeitrag, dass man bei einem Kunden «eine vollständige Angriffskette und alle dazugehörigen Indikatoren für eine Kompromittierung» entdeckt habe. Die Angreifer: Clop.
Clop übernimmt laut BleepingComputer die Verantwortung für die massenhaft ausgeführten Cyberattacken.
Der britische Lohnabrechnungs- und HR-Lösungsanbieter Zellis bestätigt, dass er aufgrund der Angriffe einen Datenabfluss erlitten habe, der einige seiner Kunden betreffe.
The Record (Recorded Future News) berichtet, dass die BBC und British Airways zu den Opfern gehörten.
Auf der Darknet-Seite der Ransomware-Bande Clop wird eine Ankündigung veröffentlicht, wonach hunderte Organisationen von einem Datendiebstahl betroffen sein könnten. Die Erpresser stellen den Opfern ein Ultimatum. Sie sollen sich mit ihnen per E-Mail in Verbindung setzen, um über die Bezahlung von Lösegeld zu verhandeln. Die unbekannten Täter drohen, sie würden sonst Namen nennen und Daten leaken.
IT-Sicherheitsexperten haben Hinweise gefunden, dass die Clop-Hacker schon Jahre früher versuchten, die Schwachstelle in der MOVEit Transfer-Software (CVE-2023-34362) auszunutzen. Die Cyberkriminellen könnten schon im April 2022 oder sogar im Juli 2021 damit experimentiert haben, hält die Cybersecurity-Firma Knoll in einer Analyse fest.
Mit Material der Nachrichtenagentur Keystone-SDA
