Die Zahl der Opfer von einem Massen-Ransomware-Angriff betroffen, der durch einen Fehler in einem beliebten Datenübertragungstool verursacht wurde, das von Unternehmen auf der ganzen Welt verwendet wird, wächst weiter, da eine andere Organisation Tech mitteilt, dass sie ebenfalls gehackt wurde.
Der kanadische Finanzriese Investissement Québec bestätigte gegenüber Tech, dass „einige persönliche Daten von Mitarbeitern“ kürzlich von einer Ransomware-Gruppe gestohlen wurden, die behauptete, Dutzende anderer Unternehmen verletzt zu haben. Sprecherin Isabelle Fontaine sagte, der Vorfall ereignete sich bei Fortra, früher bekannt als HelpSystems, das das anfällige Dateiübertragungstool GoAnywhere entwickelt.
Hitachi Energy auch bestätigt diese Woche, dass einige seiner Mitarbeiterdaten bei einem ähnlichen Vorfall mit seinem GoAnywhere-System gestohlen wurden, aber sagte, der Vorfall habe sich bei Fortra ereignet.
In den letzten Tagen hat die mit Russland verbundene Clop-Bande Dutzende anderer Organisationen zu ihrer Dark-Web-Leak-Site hinzugefügt, die sie nutzt, um Unternehmen weiter zu erpressen, indem sie droht, die gestohlenen Dateien zu veröffentlichen, wenn keine finanzielle Lösegeldforderung bezahlt wird.
Tech hat auch Dutzende von Organisationen gefunden, die die betroffene GoAnywhere-Dateiübertragungssoftware zum Zeitpunkt des Ransomware-Angriffs verwendet haben, was darauf hindeutet, dass sich wahrscheinlich weitere Opfer melden werden.
Doch während die Zahl der Opfer des Massen-Hacks zunimmt, sind die bekannten Auswirkungen bestenfalls düster.
‚130 Organisationen‘
Seit dem Angriff Ende Januar oder Anfang Februar – das genaue Datum ist nicht bekannt – hat Clop weniger als die Hälfte der 130 Organisationen offengelegt, die angeblich über GoAnywhere kompromittiert wurden, ein System, das in der Cloud oder im Netzwerk einer Organisation gehostet werden kann ermöglicht es Unternehmen, riesige Datensätze und andere große Dateien sicher zu übertragen.
Es ist nicht klar, ob Fortra, die den Vorfall nicht öffentlich kommentiert hat, noch weiß, welche Kunden betroffen sind. Als sie vor der Veröffentlichung per E-Mail erreicht wurden, wollten die Fortra-Sprecher Mike Devine und Rachel Woodford keine unserer Fragen kommentieren oder beantworten, einschließlich der Frage, ob Fortras interne GoAnywhere-Systeme, auf denen Kundendaten gehostet werden, ebenfalls von dem Massenhack betroffen waren.
Details kamen erst am 2. Februar nach dem unabhängigen Sicherheitsreporter Brian Krebs ans Licht zuerst gemeldet Einzelheiten zu dem Fehler, den Fortra hinter einem Anmeldebildschirm auf seiner Website versteckt hatte. Fortra veröffentlichte fünf Tage später, am 7. Februar, Sicherheitsfixes für GoAnywhere.
Zu diesem Zeitpunkt hatten die Hacker bereits unzählige Daten von zahlreichen Opfern gestohlen.
Der Gesundheitsgigant Community Health Systems, einer der größten Gesundheitsdienstleister in den Vereinigten Staaten, bestätigte als erster, dass er eines der 130 mutmaßlichen Unternehmen war, die Opfer des Hacks wurden, und sagte, mindestens einer Million Patienten seien ihre Gesundheitsinformationen gestohlen worden GoAnywhere-System. Der digitale Finanzriese Hatch Bank bestätigte als nächstes einen Verstoß im Zusammenhang mit dem GoAnywhere-Bug, dann der Cybersicherheitsriese Rubrik. Die Liste wächst weiter.
Börsennotierte Unternehmen bestreiten Datendiebstahl
Es ist nicht klar, ob Clop noch weiß, welche Daten es bei seinem digitalen Smash-and-Grab gestohlen hat. Tech kontaktierte einige der Organisationen, von denen bekannt ist, dass sie GoAnywhere verwenden, die kürzlich zu Clops Leak-Site hinzugefügt wurden. Mehrere antworteten, dass sie nicht betroffen seien.
Das Zahlungssoftware-Startup AvidXchange, eine der neuesten Ergänzungen von Clop, sagte gegenüber Tech, dass das Unternehmen zwar GoAnywhere verwendet, um Dateien an ein bestimmtes Unternehmen zu übertragen, das seine Schecks druckt, das Unternehmen jedoch keine Daten auf der Plattform von Fortra speichert.
„Unsere Forensik bestätigt unsere Schlussfolgerung in dieser Angelegenheit weiter“, sagte AvidXchange-Sprecherin Olivia Sorrells. „Fortra hat AvidXchange in der Woche, in der die [vulnerability] angekündigt“, sagte der Sprecher. „GoAnywhere hat die Instanz von AvidXchange offline geschaltet, sobald GoAnywhere auf den Vorfall aufmerksam wurde, um den unbefugten Zugriff auf die Plattform weiter zu verhindern.“
Auf der Leak-Site von Clop heißt es, dass Daten von AvidXchange „bald verfügbar“ sind.
Der Kaufhausriese Saks Fifth Avenue, der diese Woche zu Clops Leak-Site hinzugefügt wurde, teilt Tech mit, dass die Hacker den GoAnywhere-Fehler ausgenutzt haben, um gefälschte Kundendaten aus seinen Systemen zu stehlen. „Die gefälschten Kundendaten enthalten keine echten Kunden- oder Zahlungskarteninformationen und werden ausschließlich verwendet, um Kundenbestellungen zu Testzwecken zu simulieren“, sagte Saks-Sprecherin Nicola Schönberg.
Eine Reihe anderer Organisationen, die kürzlich zu Clops Website hinzugefügt wurden, lehnten eine Stellungnahme ab, als sie gefragt wurden, ob ihre GoAnywhere-Systeme – von denen die meisten glauben, dass sie von Fortra gehostet werden – betroffen seien.
Dazu gehört der Schweizer Pharmariese Galderma, dessen Sprecher Christian Marcoux sich weigerte, unsere Fragen zu beantworten; ITx Companies, Anbieter von Callcentern im Gesundheitswesen, dessen CEO Philip Gower eine Stellungnahme ablehnte; Brightline, ein Start-up für psychische Gesundheit für Kinder, dessen CEO Naomi Allen gegenüber Sprecher John O’Connor zurückschob, der sich weigerte, einen Kommentar abzugeben; Veranstaltungsplaner Emerald Expositions, dessen Sprecherin Beth Cowperthwaite eine Stellungnahme ablehnte; und MedMinder, dessen Sprecherin Stacy Clougherty sagte, MedMinder sei sich „der Anschuldigungen bewusst“, lehnte es jedoch ab, sich weiter zu äußern, während das Unternehmen Nachforschungen anstellt.
Keines der Unternehmen hat bestritten, GoAnywhere-Kunden zu sein.
Clop hat Proben von Daten veröffentlicht, die angeblich von Onex gestohlen und von Tech eingesehen wurden, darunter W-9-Steuerformulare, Zahlungsaufträge und Mitarbeiterinformationen, einschließlich Namen, Geschlecht und E-Mail-Adressen. Onex hat keine Anfragen nach Kommentaren beantwortet.
Eine der von Tech als GoAnywhere-Kunden identifizierten, aber noch nicht von Clop gelisteten Organisationen ist die Stadt Toronto, die angab, von dem Massen-Hack nicht betroffen zu sein. „Die Stadt und Fortra haben eine Überprüfung durchgeführt und festgestellt, dass weder interne Daten noch Einwohnerdaten exfiltriert wurden“, sagte die Sprecherin der Stadt, Ashika Theyyil.
Andere identifizierte GoAnywhere-Benutzer antworteten nicht auf mehrere Anfragen nach Kommentaren, darunter der kanadische Reha- und Psychiatrieanbieter Homewood Health; der in England ansässige Anbieter von bezahlbarem Wohnraum Guinness Partnership; Privatkundenunternehmen Avidia Bank; Medex Healthcare; Cornerstone Home Lending und der kolumbianische Energieriese Grupo Vanti.
Lorenzo Franceschi-Bicchierai trug dazu bei.
Wenn Sie mehr über den Fortra-Fehler oder -Verstoß wissen, können Sie Carly Page sicher über Signal unter +441536 853968 oder per E-Mail kontaktieren. Sie können Zack Whittaker auch über Signal und WhatsApp unter +1 646-755-8849 oder [email protected] kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.