Die Massenausbeutung von MOVEit Transfersoftware hat sich schnell als größter Hackerangriff des Jahres etabliert. Während die vollen Auswirkungen des Angriffs wahrscheinlich noch Monate lang ungeklärt bleiben werden, gibt es nach Angaben des Cybersicherheitsunternehmens inzwischen mehr als 1.000 bekannte Opfer der MOVEit-Verletzung Emsisoft.
Dieser Meilenstein macht den MOVEit-Einbruch nicht nur zum größten Hack des Jahres 2023, sondern auch zu einem der größten in der jüngeren Geschichte.
Die Folgen begannen im Mai, als Progress hat eine Zero-Day-Sicherheitslücke offengelegt in MOVEit Transfer, seinem verwalteten Dateiübertragungsdienst, der von Tausenden von Organisationen auf der ganzen Welt verwendet wird, um große Mengen oft sensibler Daten über das Internet zu übertragen. Die als kritisch eingestufte Schwachstelle ermöglichte es Angreifern – insbesondere der berüchtigten Ransomware- und Erpresserbande Clop –, MOVEit Transfer-Server zu überfallen und die darin gespeicherten sensiblen Kundendaten zu stehlen.
Seitdem werden die Angriffe und Drohungen von Clop, die gestohlenen Daten zu veröffentlichen, wenn keine Zahlungen eingehen, unvermindert fortgesetzt, ebenso wie die Zahl der bekannten Opferorganisationen, der bekannten betroffenen Personen und die mit den Folgen verbundenen Kosten.
Wir werfen einen Blick auf den MOVEit-Massen-Hack anhand der Zahlen.
60.144.069
Gerade als die Zahl der bekannten Opferorganisationen am 25. August die 1.000-Marke überschritt, überschritt auch die Zahl der betroffenen Personen die 60-Millionen-Marke.
Diese von Emsisoft veröffentlichte Zahl basiert auf Meldungen staatlicher Verstöße, Einreichungen bei der SEC und anderen öffentlichen Offenlegungen. Emsisoft weist darauf hin, dass es zwar ausnahmslos gewisse Überschneidungen in Bezug auf die betroffenen Personen geben wird, die Zahl jedoch wahrscheinlich nur zunehmen wird, da immer mehr Organisationen weiterhin Datenverstöße im Zusammenhang mit MOVEit bestätigen.
83,9 %
Laut den Forschern von Emisoft sind in den USA ansässige Organisationen 83,9 % der bekannten Opfer von MOVEit-Unternehmen. Organisationen in Deutschland machen etwa 3,6 % aller Opfer aus, gefolgt von kanadischen Unternehmen mit 2,6 % und Firmen im Vereinigten Königreich mit 2,1 %.
11 Millionen
Im Juli wurde der US-amerikanische Regierungsdienstleister Maximus zum größten Opfer des MOVEit-Verstoßes, nachdem er bestätigt hatte, dass Hacker auf die geschützten Gesundheitsinformationen – einschließlich der Sozialversicherungsnummern – von bis zu 11 Millionen Personen zugegriffen hatten. Das in Virginia ansässige Unternehmen sagte damals, es habe die genaue Zahl der betroffenen Personen noch nicht ermittelt.
Diesem Ausmaß dieses Vorfalls folgt unmittelbar der Kompromiss der französischen Arbeitsagentur Pôle emploi, der kürzlich einen Verstoß gegen die personenbezogenen Daten von bis zu 10 Millionen Menschen bestätigte. Damit ist die französische Behörde das zweitgrößte bekannte Opfer des Massenhacks.
Abgerundet wird die Liste der fünf größten MOVEit-Opfer durch das Louisiana Office of Motor Vehicles (6 Millionen). Colorado Department of Health Care Policy and Financing (4 Millionen) und das Oregon Department of Transportation (3,5 Millionen).
30,86 %
Etwa ein Drittel der Hosts, auf denen anfällige MOVEit-Server zum Zeitpunkt des Beginns der Massen-Hacks betrieben wurden, gehörten nach Angaben eines Sicherheitsanalyseunternehmens Finanzdienstleistungsorganisationen Censys.
Der Bericht, der 1.400 im Internet offen zugängliche MOVEit-Server analysierte, ergab, dass 15,96 % der Hosts mit dem Gesundheitssektor, 8,92 % mit Organisationen der Informationstechnologie und 7,5 % mit staatlichen und militärischen Einrichtungen verbunden waren.
9.923.771.385 $
Dies sind die geschätzten Gesamtkosten der bisherigen MOVEit-Massenhacks. Die Zahl basiert auf IBM-DatenDabei wurde festgestellt, dass die durchschnittlichen Kosten einer Datenschutzverletzung bei durchschnittlich 165 US-Dollar liegen, gepaart mit der Anzahl der nachweislich betroffenen Personen.
Allerdings haben, wie Emsisoft anmerkt, bisher nur eine Handvoll Unternehmensgeschädigte die Anzahl der bekanntermaßen betroffenen Personen gemeldet. Emsisoft sagte, wenn die Zahl skaliert würde, würden die Kosten bis heute mindestens 65 Milliarden US-Dollar betragen.
2021
Forscher gehen davon aus, dass Clop möglicherweise bereits im Jahr 2021 auf seinem MOVEit-Exploit saß. Das sagte das US-Risikoberatungsunternehmen Kroll in einem Bericht dass, obwohl die Nachricht von der Sicherheitslücke erstmals Ende Mai bekannt wurde, Kroll-Forscher Aktivitäten identifizierten, die darauf hindeuteten, dass Clop fast zwei Jahre lang mit der Ausnutzung dieser Sicherheitslücke experimentiert hatte.
„Es scheint, dass die Clop-Bedrohungsakteure den MOVEit Transfer-Exploit zum Zeitpunkt des GoAnywhere-Ereignisses abgeschlossen hatten und beschlossen, die Angriffe nacheinander statt parallel auszuführen“, erklärt Kroll.
10.000.000 $
Das US-Außenministerium setzte ein Kopfgeld in Höhe von 10 Millionen US-Dollar im Zusammenhang mit Informationen über die Ransomware-Gruppe Clop aus, nachdem bei der MOVEit-Verletzung Aufzeichnungen mehrerer Abteilungseinheiten kompromittiert worden waren.
Das Energieministerium bestätigte gegenüber Tech, dass zwei seiner Unternehmen zu den Verstößen gehörten.
100.000.000 $
So viel Geld könnte Clop mit der MOVEit-Massenhacking-Kampagne verdienen, so das Ransomware-Recovery-Unternehmen Covewarewobei dieser Betrag nur von einer kleinen Handvoll Opfer stammte, die den Forderungen der Hacker nachgaben und erhebliche Lösegeldzahlungen zahlten.
„Das ist eine gefährliche und atemberaubende Geldsumme für eine relativ kleine Gruppe.“ Zum Vergleich: Dieser Betrag ist größer als das jährliche Offensivsicherheitsbudget Kanadas“, sagte Coveware.
Null
Dabei handelt es sich um die Menge an Regierungsdaten, über die Clop angeblich über Regierungs-, Stadt- oder Polizeidienste verfügt. In einem Beitrag auf ihrer Dark-Web-Leak-Site sagte die Bande, sie werde „die Höflichkeit tun“ und alle regierungsbezogenen Daten löschen. Clop hat keine Beweise für diese Behauptung vorgelegt, und Tech war auch nicht in der Lage, seine Behauptung zu überprüfen. „Wir sind nur finanziell tätig [sic] motiviert“, schrieben die Hacker.