Der Softwarehersteller Fortra teilte seinen Firmenkunden mit, dass ihre Daten sicher seien – auch wenn dies nicht der Fall war – nach einem Ransomware-Angriff auf seine Systeme, hat Tech erfahren.
Wie wir bereits berichtet haben, hat die Ransomware-Gang Clop einen neu entdeckten Fehler in Fortras GoAnywhere-Dateiübertragungssoftware ausgenutzt, die von Tausenden von Organisationen verwendet wird, um sensible Daten über das Internet zu übertragen. Der Fehler ermöglichte es der Ransomware-Bande, sich einzuhacken und am 31. Januar einen Massen-Ransomware-Angriff durchzuführen. Die mit Russland verbundene Clop-Bande behauptete, sie habe etwa 130 Organisationen kompromittiert, die zum Zeitpunkt des Ransomware-Angriffs das anfällige GoAnywhere-Tool verwendeten.
Jetzt kommen neue Opfer ans Licht.
Der Konsumgüterriese Procter & Gamble bestätigte gegenüber Tech, dass es „eines der vielen Unternehmen war, die von Fortras GoAnywhere-Vorfall betroffen waren“ und dass Hacker dadurch einige Informationen über seine Mitarbeiter erhalten hatten. Anbieter von Gesundheits- und Wellnessprogrammen US-Wellness gab diese Woche auch bekannt, dass die persönlichen und geschützten Gesundheitsdaten von Verbrauchern möglicherweise aufgrund einer Verletzung durch Dritte kompromittiert wurden. Tech hat erfahren, dass US Wellness zum Zeitpunkt des Ransomware-Angriffs ein GoAnywhere-Kunde war.
Mit zunehmender Zahl der Opfer kommen auch immer mehr Details darüber ans Licht, wie Fortra mit dem Vorfall umgegangen ist.
Tech hat von zwei Opfern gehört, die erst erfahren haben, dass Daten aus ihren GoAnywhere-Systemen exfiltriert wurden, nachdem sie jeweils eine Lösegeldforderung erhalten hatten. Beiden Organisationen war zuvor von Fortra mitgeteilt worden, dass ihre Daten von dem Ransomware-Angriff nicht betroffen seien.
Eine der Organisationen teilte Tech mit, dass sie erkannt hätten, dass sich die Situation geändert habe, als sie von den angeblichen Hackern kontaktiert wurde, sagte jedoch, dass die Organisation keine Verhandlungen aufgenommen oder eine Lösegeldforderung gezahlt habe.
Als Fortra-Sprecherin Rachel Woodford per E-Mail dazu befragt wurde, äußerte sie sich nicht, bestritt jedoch nicht, was die beiden Organisationen uns mitgeteilt hatten oder dass Fortra den Kunden mitgeteilt hatte, dass ihre Daten sicher seien. Fortra stellte CISO Chris Reffkin nicht für ein Interview zur Verfügung.
Die vollen Auswirkungen des Massen-Hacks, der aus der GoAnywhere-Schwachstelle resultiert, sind noch nicht bekannt. Fortra wollte trotz wiederholter Anfragen von Tech nicht sagen, ob die unternehmensinternen GoAnywhere-Systeme, auf denen Kundendaten gespeichert sind, während des Ransomware-Angriffs kompromittiert wurden.
Die Clop-Ransomware-Gang hat in den letzten Tagen Dutzende neuer Opfer zu ihrer Dark-Web-Leak-Site hinzugefügt – darunter das Zahlungssoftware-Startup AvidXchange, der Investmentgigant Onex, der britische Pension Protection Fund und die Stadt Toronto –, die alle identifiziert wurden von Tech als Organisationen, die zum Zeitpunkt des Verstoßes die anfällige GoAnywhere-Dateiübertragungssoftware verwendeten, zusammen mit Dutzenden anderer Organisationen.
Es folgt anderen Ergänzungen zu seinen Leak-Seiten, darunter der kolumbianische Energieriese Grupo Vanti, der australische Glücksspielriese Crown Resorts und Medex Healthcare.
Fortra hat seinen Verstoß im Januar noch nicht öffentlich bestätigt, abgesehen von einer unzugänglichen Empfehlung auf seiner Website. Fortras jüngste Pressemitteilung vom 16. März angekündigt dass das Unternehmen von den Cybersecurity Excellence Awards, einer Branchenauszeichnung, die von den einreichenden Unternehmen und der Fortra bezahlt wird, als „bestes Cybersicherheitsunternehmen“ ausgezeichnet wurde Sponsoren.