Clop, die Ransomware Die Bande, die für die Ausnutzung einer kritischen Sicherheitslücke in einem beliebten File-Transfer-Tool von Unternehmen verantwortlich ist, hat damit begonnen, Opfer der Massen-Hacks aufzulisten, darunter eine Reihe von US-Banken und Universitäten.
Die mit Russland verbundene Ransomware-Bande nutzt seit Ende Mai die Sicherheitslücke in MOVEit Transfer aus, einem Tool, mit dem Konzerne und Unternehmen große Dateien über das Internet teilen. Progress Software, das die MOVEit-Software entwickelt, hat die Schwachstelle behoben – allerdings nicht bevor Hacker eine Reihe seiner Kunden kompromittiert haben.
Während die genaue Zahl der Opfer noch unbekannt ist, listete Clop am Mittwoch die ersten Organisationen auf, die angeblich durch Ausnutzung der MOVEit-Schwachstelle gehackt wurden. Die Opferliste, die auf Clops Dark-Web-Leak-Site veröffentlicht wurde, umfasst die in den USA ansässigen Finanzdienstleistungsunternehmen 1st Source und First National Bankers Bank; das in Boston ansässige Investmentmanagementunternehmen Putnam Investments; das in den Niederlanden ansässige Unternehmen Landal Greenparks; und der in Großbritannien ansässige Energieriese Shell.
GreenShield Canada, ein gemeinnütziger Leistungsträger, der Gesundheits- und Zahnleistungen anbietet, war auf der Leak-Website aufgeführt, wurde jedoch inzwischen entfernt.
Zu den weiteren aufgeführten Opfern gehören der Finanzsoftwareanbieter Datasite; gemeinnützige Bildungseinrichtung National Student Clearinghouse; Anbieter einer studentischen Krankenversicherung: United Healthcare Student Resources; Der amerikanische Hersteller Leggett & Platt; Schweizer Versicherungsgesellschaft ÖKK; und das University System of Georgia (USG).
Ein USG-Sprecher, der seinen Namen nicht nannte, sagte gegenüber Tech, dass die Universität „den Umfang und die Schwere dieser potenziellen Datenoffenlegung bewertet“. Falls erforderlich, werden im Einklang mit Bundes- und Landesrecht Benachrichtigungen an alle betroffenen Personen verschickt.“
Florian Pitzinger, ein Sprecher des deutschen Maschinenbauunternehmens Heidelberg, das Clop als Opfer aufführte, sagte gegenüber Tech in einer Erklärung, dass das Unternehmen „sehr wohl über die Erwähnung von Clop auf der Tor-Website und den Vorfall im Zusammenhang mit einer Zuliefersoftware“ informiert sei. Der Sprecher fügte hinzu, dass „der Vorfall vor einigen Wochen aufgetreten ist, schnell und effektiv dagegen vorgegangen wurde und nach unserer Analyse zu keinem Datenschutzverstoß geführt hat.“
Keines der anderen aufgeführten Opfer hat bisher auf die Fragen von Tech geantwortet.
Clop, das wie andere Ransomware-Banden typischerweise seine Opfer kontaktiert, um ein Lösegeld für die Entschlüsselung oder Löschung ihrer gestohlenen Dateien zu verlangen, hat den ungewöhnlichen Schritt unternommen, die Organisationen, die es gehackt hatte, nicht zu kontaktieren. Stattdessen forderte eine auf der Dark-Web-Leak-Site veröffentlichte Erpressungsnachricht die Opfer auf, sich vor Ablauf der Frist am 14. Juni mit der Bande in Verbindung zu setzen.
Zum Zeitpunkt des Verfassens dieses Artikels wurden keine gestohlenen Daten veröffentlicht, aber Clop teilt den Opfern mit, dass es „viele“ heruntergeladen habe [sic] Ihrer Daten.“
Neue Opfer melden sich
Mehrere Organisationen, darunter die BBC, Aer Lingus und British Airways, haben bereits zuvor bekannt gegeben, dass sie durch die Angriffe kompromittiert wurden. Diese Organisationen waren alle betroffen, weil sie sich auf den HR- und Gehaltsabrechnungssoftwareanbieter Zellis verlassen bestätigt dass sein MOVEit-System kompromittiert wurde.
Die Regierung von Nova Scotia, die MOVEit zum abteilungsübergreifenden Austausch von Dateien nutzt, bestätigte ebenfalls, dass sie betroffen sei, und sagte: in einer Stellungnahme dass die persönlichen Daten einiger Bürger möglicherweise kompromittiert wurden. In einer Nachricht auf seiner Leak-Site sagte Clop jedoch: „Wenn Sie eine Regierung, eine Stadt oder ein Polizeidienst sind … haben wir alle Ihre Daten gelöscht.“
Während das volle Ausmaß der Angriffe weiterhin unbekannt ist, melden sich immer wieder neue Opfer.
Johns Hopkins University diese Woche bestätigt ein Cybersicherheitsvorfall, von dem angenommen wird, dass er mit dem MOVEit-Massenhack zusammenhängt. In einer Erklärung erklärte die Universität, dass der Datenschutzverstoß „sensible persönliche und finanzielle Informationen beeinträchtigt haben könnte“, darunter Namen, Kontaktinformationen und Krankenakten.
Ofcom, die britische Kommunikationsregulierungsbehörde, sagte auch, dass bei dem MOVEit-Massenhack einige vertrauliche Informationen kompromittiert worden seien. In ein Statementbestätigte die Regulierungsbehörde, dass Hacker auf einige Daten über die von ihr regulierten Unternehmen sowie auf die persönlichen Daten von 412 Ofcom-Mitarbeitern zugegriffen haben.
Auch Transport for London (TfL), die für den Betrieb der Londoner Transportdienste zuständige Regierungsbehörde, und das globale Beratungsunternehmen Ernst and Young seien betroffen, heißt es BBC News. Keine der Organisationen antwortete auf die Fragen von Tech.
Es wird erwartet, dass in den kommenden Tagen und Wochen noch viele weitere Opfer aufgedeckt werden, wobei Tausende von MOVEit-Servern – die meisten davon in den Vereinigten Staaten – immer noch im Internet auffindbar sind.
Forscher berichten auch, dass Clop die MOVEit-Schwachstelle möglicherweise bereits im Jahr 2021 ausgenutzt hat. Das sagte das amerikanische Risikoberatungsunternehmen Kroll in einem Bericht Obwohl die Sicherheitslücke erst Ende Mai bekannt wurde, identifizierten die Forscher Aktivitäten, die darauf hindeuteten, dass Clop fast zwei Jahre lang mit Möglichkeiten experimentierte, diese spezielle Sicherheitslücke auszunutzen.
„Dieser Befund verdeutlicht das ausgefeilte Wissen und die Planung, die bei Massenausbeutungsereignissen wie dem Cyberangriff MOVEit Transfer zum Einsatz kommen“, sagten Kroll-Forscher.
Clop war auch für frühere Massenangriffe verantwortlich, bei denen Schwachstellen im GoAnywhere-Dateiübertragungstool von Fortra und in der Dateiübertragungsanwendung von Accellion ausgenutzt wurden.