Hacker haben die persönlichen Daten von mehr als 15 Millionen Personen kompromittiert, indem sie eine Sicherheitslücke im MOVEit-Dateiübertragungstool ausgenutzt haben, während die Zahl der Opferorganisationen weiter wächst.
Es gibt mehr als 140 bekannte Opfer von Clop-Ransomware-Angriffen, die auf eine Schwachstelle in MOVEit Transfer abzielen, einem von Progress Software entwickelten Dateiübertragungstool für Unternehmen. Brett Callow, ein Ransomware-Experte und Bedrohungsanalyst bei Emsisoft, erklärt gegenüber Tech, dass zwar bisher nur 10 dieser Opfer die Zahl der betroffenen Personen bestätigt haben, die Zahl jedoch bereits mehr als 15,5 Millionen Personen übersteigt.
Dazu gehören ca 3,5 Millionen Inhaber eines Führerscheins aus Oregon; etwa sechs Millionen Einwohner von Louisiana; manche 770.000 Mitglieder des kalifornischen Rentensystems für öffentliche Angestellte; zwischen 2,5 und 2,7 Millionen Kunden von Genworth Finance; etwa 1,5 Millionen Kunden des Versicherungsanbieters Wilton Reassurance; mehr als 170.000 Begünstigte des Tennessee Consolidated Retirement System; und mehr als eine halbe Million Kunden von Talcott Resolution.
Callow teilt Tech mit, dass bei den Massen-Hacks auch die gemeinnützige US-amerikanische Bildungsorganisation National Student Clearinghouse betroffen sei, was zahlenmäßig einen „potenziell erheblichen“ Verstoß darstellen könnte. Die Organisation, die begann, die Schulen zu benachrichtigen des Datenschutzverstoßes arbeitet mit 3.600 Hochschulen und Universitäten sowie 22.000 weiterführenden Schulen zusammen.
Callow stellte fest, dass mindestens sieben der bekannten MOVEit-Opfer US-Universitäten und 16 US-amerikanische Organisationen des öffentlichen Sektors seien.
Dazu gehört laut Angaben des US-Gesundheitsministeriums (HHS). Bloomberg, die am Mittwoch berichtete, dass Beamte den Kongress über einen Vorfall informiert hätten, bei dem mehr als 100.000 Personen exponiert worden seien. HHS antwortete nicht auf die Fragen von Tech und wurde noch nicht zur Dark-Web-Leak-Site von Clop hinzugefügt.
Die US-Cybersicherheitsbehörde CISA teilte Tech zuvor mit, dass es bei „mehreren“ US-Regierungsbehörden zu Einbrüchen im Zusammenhang mit der Ausnutzung der MOVEit-Übertragungslücke gekommen sei, und ein Sprecher des Energieministeriums bestätigte, dass darunter auch zwei DOE-Unternehmen gelitten hätten.
Es sind nicht nur Regierungsstellen, die ins Visier genommen werden.
Clop, das die Verantwortung für die weit verbreiteten Angriffe übernahm, hat allein in dieser Woche Dutzende neue Opfer auf seiner Leak-Seite hinzugefügt, darunter Banken, Beratungs- und Anwaltsfirmen sowie Energieriesen.
Die Sprecherin von Siemens Energy, Claudia Nehring, bestätigte gegenüber Tech, dass das Unternehmen zu den Zielen der MOVEit-Angriffe gehört. „Der aktuellen Analyse zufolge wurden keine kritischen Daten kompromittiert und unser Betrieb wurde nicht beeinträchtigt. Als wir von dem Vorfall erfuhren, haben wir sofort Maßnahmen ergriffen“, fügte Nehring hinzu.
Die University of California (UCLA), die MOVEit Transfer zur Übertragung von Dateien über den Campus und an andere Einrichtungen nutzte, gehört ebenfalls zu den neu aufgeführten Opfern von Clop. UCLA-Sprecherin Marge Gray sagte gegenüber Tech, dass die Universität „das FBI benachrichtigt und mit externen Cybersicherheitsexperten zusammengearbeitet hat, um die Angelegenheit zu untersuchen“ und die Betroffenen benachrichtigt habe. Die UCLA wollte nicht sagen, wie viele Personen betroffen waren.
Keines der anderen von Clop aufgeführten Opfer hat bisher auf die Bitte von Tech um einen Kommentar geantwortet.
Die genaue Anzahl der betroffenen Organisationen und der anschließend betroffenen Personen ist weiterhin unbekannt. In einem Beitrag auf seiner Leak-Site behauptet Clop, „Hunderte“ von Organisationen kompromittiert zu haben, was bedeutet, dass in den kommenden Tagen und Wochen wahrscheinlich weitere Opfer ans Licht kommen werden.
Angesichts dieser jüngsten Welle von Massenangriffen setzte das US-Außenministerium Anfang des Monats ein Kopfgeld in Höhe von 10 Millionen US-Dollar für Informationen über die Ransomware-Gruppe Clop aus, eine mit Russland verbundene Bande, die auch für frühere Massenangriffe verantwortlich war, bei denen Schwachstellen im GoAnywhere-Dateitransfer von Fortra ausgenutzt wurden Tool und die Dateiübertragungsanwendung von Accellion.
Arbeiten Sie in einer betroffenen Organisation? Haben Sie weitere Informationen, die Sie teilen können? Sie können Carly Page sicher über Signal unter +441536 853968 und per E-Mail kontaktieren. Sie können Tipps und Dokumente auch über SecureDrop mit Tech teilen.