Erste Opfer der Moveit-Lücke in der Schweiz

16. Juni 2023 um 12:11
image
Illustration: Midjourney

Die Bande Clop hat mit der Publikation von möglichen Datendiebstählen begonnen. Progress Software gibt schon wieder eine neue, dritte Moveit-Schwachstelle bekannt.

Seit Ende Mai eine erste Schwachstelle in der Managed-File-Transfer-Lösung Moveit publik wurde, zittern weltweit Unternehmen und Organisationen. Kurz nach der Bekanntgabe der Zero-Day-Lücke erfolgten erste Drohungen der Bande Clop, diese für Datendiebstähle ausgenutzt zu haben.
Die Cyberkriminellen schrieben, dass sich Moveit-Anwender umgehend bei der Bande melden sollen. Falls sie dies nicht tun, werde ab dem 14. Juni der Firmenname von Opfern auf der Darknet-Site veröffentlicht. Nach eigenen Angaben hat die Gruppe weltweit über 230 Unternehmen und Organisationen kompromittiert. Im Gegensatz zu früheren Angriffen verschlüsselte Clop dabei keine Systeme, sondern griff angeblich "nur" Daten ab.

Krankenversicherer ÖKK bestätigt Angriff

Tatsächlich steigen die Einträge von Clop auf ihrer Website im Darknet seit dem 14. Juni rapide an. Darunter sind auch erste Namen aus der Schweiz, wie zuerst 'Watson' berichtete. Clop nennt die Krankenversicherung ÖKK und den auch hierzulande tätigen Ferienpark-Betreiber Landal.
Gegenüber 'Watson' bestätigten beide Unternehmen, von Clop angegriffen worden zu sein. "Wir gehören zu den mutmasslich vielen Betroffenen. Unser Kernsystem mit den Gesundheitsdaten ist nicht tangiert", erklärte Patrick Eisenhut, Leiter Kommunikation der ÖKK. Es seien Personendaten wie Vorname und Name betroffen. Der Krankenversicher betont: "Wir sehen aktuell keinen Anlass, auf die Forderungen (von Clop) einzugehen."
Von Seiten Landal heisst es: "Die Cyberkriminellen verschafften sich auch Zugang zu Landal Greenparks und zu den Daten der Gäste. Ob sie von diesem Zugang auch tatsächlich Gebrauch gemacht haben, wissen wir nicht."

Shell und US-Behörden unter den Opfern

Nach bereits bekannten Vorfällen bei der Fluggesellschaft British Airways, dem Ölkonzern Shell, der irischen Gesundheitsbehörde HSE und Universitäten häufen sich auch in den USA die Meldungen zu Angriffen über die Moveit-Lücke. Wie unter anderem 'Forbes' berichtet, bestätigten US-Beamte am 15. Juni, dass mehrere Regierungsbehörden, darunter das Energieministerium, getroffen wurden. Ob diese Attacken ebenfalls auf das Konto von Clop gehen, ist bis jetzt unklar.
In einem Alert schreibt Hüseyin Can Yuceel, Securityforscher bei Picus: "Da der Zweck der Drohung darin besteht, Opfer unter Druck zu setzen, damit sie das geforderte Lösegeld zahlen, wird Clop die Daten in dieser Woche möglicherweise nicht in vollem Umfang freigeben. Frühere Angriffe zeigen jedoch, dass sie nicht bluffen." Unternehmen sollten aber auf keinen Fall auf die Forderungen der Cyberkriminellen eingehen.

Und schon die dritte Moveit-Schwachstelle

Ausgenutzt für die Angriffe wurde die Schwachstelle "CVE-2023-34362". Am 9. Juni gab der Moveit-Hersteller Progress Software mit "CVE-2023-35036" eine zweite, ebenso kritische Lücke, bekannt. Für beide Lücken stehen Patches zur Verfügung. Unternehmen sollten diese sofort und dringend anwenden, empfiehlt auch das Schweizer NCSC.
Nicht mal eine Woche später hat Progress jetzt eine dritte Schwachstelle in Moveit bekannt gegeben. "Progress hat eine Schwachstelle in Moveit Transfer entdeckt, die zu erweiterten Berechtigungen und potenziell unbefugtem Zugriff auf die Umgebung führen könnte", schreibt das Unternehmen in einem Advisory.
"Angesichts der neu veröffentlichten Schwachstelle haben wir den Http-Verkehr für Moveit Cloud heruntergefahren und alle Moveit-Transfer-Kunden gebeten, ihren Http- und Https-Verkehr zu drosseln, um ihre Umgebungen zu schützen, während ein Patch erstellt und getestet wurde", so Progress. Das Unternehmen empfiehlt dringend, im Advisory erwähnte Abwehrmassnahmen sofort zu ergreifen.

Loading

Mehr zum Thema

image

KI ist neuer Kollege in Schweizer Büros

Auch ohne viel Schulung setzen Büroangestellte in der Schweiz Künstliche Intelligenz für ihre tägliche Arbeit ein. Die Mehrheit weiss aber, dass noch grosse Veränderungen auf sie zukommen.

publiziert am 20.1.2025
image

Beginnt das WEF, starten die DDoS-Attacken

Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.

publiziert am 20.1.2025
image

Datasport gewinnt den Courage Award

Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.

publiziert am 16.1.2025
image

Podcast: Von Melani zum Bacs

Eine gewisse Narrenfreiheit und viel Aufbauarbeit: So verlief die Anfangszeit der Melde- und Analysestelle des Bundes. Im Podcast spricht Inside IT über den Start der Stelle vor 20 Jahren und die Entwicklung zum Bundesamt.

publiziert am 17.1.2025