Eine produktive Ransomware Die Operation ist zurück mit alten Tricks – und neuen Opfern.
Community Health Systems (CHS), einer der größten Gesundheitsdienstleister in den Vereinigten Staaten mit fast 80 Krankenhäusern in 16 Bundesstaaten, bestätigte diese Woche, dass kriminelle Hacker auf die persönlichen und geschützten Gesundheitsinformationen von bis zu einer Million Patienten zugegriffen haben.
Das teilte der in Tennessee ansässige Gesundheitsriese mit eine Einreichung bei staatlichen Aufsichtsbehörden dass die Datenschutzverletzung auf die Verwendung einer beliebten Dateiübertragungssoftware namens GoAnywhere MFT zurückzuführen ist, die von Fortra (früher bekannt als Hilfesysteme), das von großen Unternehmen eingesetzt wird, um große Datensätze sicher zu teilen und zu senden. Community Health Systems sagte, dass Fortra es kürzlich über einen Sicherheitsvorfall informiert habe, der zur unbefugten Offenlegung von Patientendaten geführt habe.
„Als Folge der Sicherheitsverletzung von Fortra wurden geschützte Gesundheitsinformationen und persönliche Informationen bestimmter Patienten der Tochtergesellschaften des Unternehmens von Fortras Angreifer offengelegt“, heißt es in der Einreichung von Community Health Systems, die zuerst von entdeckt wurde DataBreaches.net. Der Gesundheitsriese fügte hinzu, dass er Dienste zum Schutz vor Identitätsdiebstahl anbieten und alle betroffenen Personen benachrichtigen würde, deren Informationen offengelegt wurden, sagte jedoch, dass es keine wesentliche Unterbrechung der Patientenversorgung gegeben habe.
CHS hat nicht gesagt, welche Arten von Daten offengelegt wurden, und ein Sprecher hat noch nicht auf die Fragen von Tech geantwortet. Dies ist die zweite bekannte Verletzung von Patientendaten durch CHS in den letzten Jahren.
Die mit Russland verbundene Ransomware-Gang Clop hat Berichten zufolge die Verantwortung für die Ausnutzung des neuen Zero-Day in einer neuen Hacking-Kampagne übernommen und behauptet, bereits über hundert Organisationen verletzt zu haben, die die Dateiübertragungstechnologie von Fortra verwenden – einschließlich CHS.
Während sich CHS schnell als Opfer gemeldet hat, deutet Clops Behauptung darauf hin, dass es da draußen Dutzende weiterer betroffener Organisationen geben könnte – und wenn Sie einer von Tausenden von GoAnywhere-Benutzern sind, könnte Ihr Unternehmen darunter sein. Glücklicherweise haben Sicherheitsexperten eine Reihe von Informationen über den Zero-Day und was Sie tun können, um sich davor zu schützen, geteilt.
Was ist die GoAnywhere-Schwachstelle?
Details der Zero-Day-Schwachstelle in der GoAnywhere-Software von Fortra – verfolgt als CVE-2023-0669 – wurden erstmals am 2. Februar vom Sicherheitsjournalisten Brian Krebs gemeldet. In einem Beitrag über Mastodonteilte Krebs den vollständigen Text der Sicherheitsempfehlung von Fortra mit, die einen Tag zuvor herausgegeben wurde und auf deren öffentlicher Website nicht zugegriffen werden kann. Stattdessen mussten Benutzer ein Fortra-Konto erstellen, um auf den Schwachstellenbericht zugreifen zu können, ein Schritt, der von Cybersicherheitsexperten scharf kritisiert wurde.
„In GoAnywhere MFT wurde ein Zero-Day-Remote-Code-Injection-Exploit identifiziert“, so Fortra in seinem Hidden Advisory. „Der Angriffsvektor dieses Exploits erfordert Zugriff auf die Verwaltungskonsole der Anwendung, auf die in den meisten Fällen nur über ein privates Unternehmensnetzwerk, über VPN oder über zugelassene IP-Adressen zugegriffen werden kann (bei Ausführung in Cloud-Umgebungen wie z Azure oder AWS).“
In einem technische Analyse des am 7. Februar veröffentlichten Fehlers beschrieb das Cybersicherheitsunternehmen Rapid7 die Ausnutzbarkeit des Fehlers – und den Wert für den Angreifer – angesichts der Sensibilität der Daten, die Unternehmen über GoAnywhere senden, als „sehr hoch“.
Sicherheitsforscher verglichen die Schwachstelle schnell mit einem früheren Zero-Day-Fehler, der Accellions heute nicht mehr funktionierende Legacy-Dateiübertragungs-Appliance (FTA) betraf, die es Unternehmen wie GoAnywhere ermöglichte, vertrauliche Datensätze sicher auszutauschen. Die Clop-Ransomware-Bande wurde im Jahr 2020 gefunden, als sie den Accellion-Fehler missbrauchte, um gegen eine Reihe von Organisationen vorzugehen, darunter Qualys, Shell, die University of Colorado, Kroger und Morgan Stanley.
Jetzt hat sich die Ransomware-Gang Clop, die zuletzt mit ihrer neuen Linux-Variante Schlagzeilen machte, zu Wort gemeldet Computer piepst dass es die GoAnywhere-Schwachstelle bereits ausgenutzt hat, um Daten von mehr als 130 Organisationen zu stehlen. Clop hat keine Beweise für seine Behauptung vorgelegt, und zum Zeitpunkt des Schreibens erwähnt Clops Dark-Web-Leak-Site weder Fortra noch GoAnywhere.
Fortra antwortete nicht auf die Fragen von Tech.
Sollte ich besorgt sein?
Bedenken hinsichtlich der Ausnutzbarkeit der GoAnywhere-Schwachstelle wurden nicht übertrieben.
Das berichtete die Cybersicherheitsfirma Huntress letzte Woche dass es einen Eingriff in das Netzwerk eines Kunden untersuchte, der die Nutzung des GoAnywhere-Zero-Days beinhaltete. Huntress verband das Eindringen mit einem russischsprachigen Bedrohungsakteur, den es „Silence“ nennt, der Verbindungen zu einer anderen Gruppe namens TA505 hat, einer kriminellen Hacking-Crew, die seit mindestens 2016 aktiv ist und für gezielte Kampagnen mit dem Einsatz bekannt ist von Clop-Ransomware.
„Basierend auf beobachteten Aktionen und früheren Berichten können wir mit mäßiger Zuversicht schließen, dass die von Huntress beobachtete Aktivität darauf abzielte, Ransomware einzusetzen, wobei möglicherweise eine zusätzliche opportunistische Ausnutzung von GoAnywhere MFT für denselben Zweck stattfand“, sagte Joe Slowik, Threat Intelligence Manager bei Jägerin.
Huntress sagte, dass es teilweise aufgrund der Einfachheit der Schwachstelle mit „breiterer Aktivität“ rechnet, nachdem der Exploit für den Zero-Day von GoAnywhere aktiv ausgenutzt wird.
Sicherheitspatches verfügbar
Fortra einen Notfall-Patch veröffentlicht – Version 7.1.2 – am 7. Februar und forderte alle GoAnywhere-Kunden auf, den Fix so bald wie möglich anzuwenden. „Besonders für Kunden, die ein Admin-Portal betreiben, das dem Internet ausgesetzt ist, halten wir dies für eine dringende Angelegenheit“, sagte das Unternehmen.
Die US-Cybersicherheitsbehörde CISA hat derweil den GoAnywhere-Fehler zu ihrem hinzugefügt öffentlicher Katalog bekannter ausgenutzter Schwachstellen und hat bestellt alle Bundesbehörden der zivilen Exekutive ihre Systeme vor dem 3. März zu patchen.