Erste Opfer der Moveit-Lücke in der Schweiz

16. Juni 2023 um 12:11
image
Illustration: Midjourney

Die Bande Clop hat mit der Publikation von möglichen Datendiebstählen begonnen. Progress Software gibt schon wieder eine neue, dritte Moveit-Schwachstelle bekannt.

Seit Ende Mai eine erste Schwachstelle in der Managed-File-Transfer-Lösung Moveit publik wurde, zittern weltweit Unternehmen und Organisationen. Kurz nach der Bekanntgabe der Zero-Day-Lücke erfolgten erste Drohungen der Bande Clop, diese für Datendiebstähle ausgenutzt zu haben.
Die Cyberkriminellen schrieben, dass sich Moveit-Anwender umgehend bei der Bande melden sollen. Falls sie dies nicht tun, werde ab dem 14. Juni der Firmenname von Opfern auf der Darknet-Site veröffentlicht. Nach eigenen Angaben hat die Gruppe weltweit über 230 Unternehmen und Organisationen kompromittiert. Im Gegensatz zu früheren Angriffen verschlüsselte Clop dabei keine Systeme, sondern griff angeblich "nur" Daten ab.

Krankenversicherer ÖKK bestätigt Angriff

Tatsächlich steigen die Einträge von Clop auf ihrer Website im Darknet seit dem 14. Juni rapide an. Darunter sind auch erste Namen aus der Schweiz, wie zuerst 'Watson' berichtete. Clop nennt die Krankenversicherung ÖKK und den auch hierzulande tätigen Ferienpark-Betreiber Landal.
Gegenüber 'Watson' bestätigten beide Unternehmen, von Clop angegriffen worden zu sein. "Wir gehören zu den mutmasslich vielen Betroffenen. Unser Kernsystem mit den Gesundheitsdaten ist nicht tangiert", erklärte Patrick Eisenhut, Leiter Kommunikation der ÖKK. Es seien Personendaten wie Vorname und Name betroffen. Der Krankenversicher betont: "Wir sehen aktuell keinen Anlass, auf die Forderungen (von Clop) einzugehen."
Von Seiten Landal heisst es: "Die Cyberkriminellen verschafften sich auch Zugang zu Landal Greenparks und zu den Daten der Gäste. Ob sie von diesem Zugang auch tatsächlich Gebrauch gemacht haben, wissen wir nicht."

Shell und US-Behörden unter den Opfern

Nach bereits bekannten Vorfällen bei der Fluggesellschaft British Airways, dem Ölkonzern Shell, der irischen Gesundheitsbehörde HSE und Universitäten häufen sich auch in den USA die Meldungen zu Angriffen über die Moveit-Lücke. Wie unter anderem 'Forbes' berichtet, bestätigten US-Beamte am 15. Juni, dass mehrere Regierungsbehörden, darunter das Energieministerium, getroffen wurden. Ob diese Attacken ebenfalls auf das Konto von Clop gehen, ist bis jetzt unklar.
In einem Alert schreibt Hüseyin Can Yuceel, Securityforscher bei Picus: "Da der Zweck der Drohung darin besteht, Opfer unter Druck zu setzen, damit sie das geforderte Lösegeld zahlen, wird Clop die Daten in dieser Woche möglicherweise nicht in vollem Umfang freigeben. Frühere Angriffe zeigen jedoch, dass sie nicht bluffen." Unternehmen sollten aber auf keinen Fall auf die Forderungen der Cyberkriminellen eingehen.

Und schon die dritte Moveit-Schwachstelle

Ausgenutzt für die Angriffe wurde die Schwachstelle "CVE-2023-34362". Am 9. Juni gab der Moveit-Hersteller Progress Software mit "CVE-2023-35036" eine zweite, ebenso kritische Lücke, bekannt. Für beide Lücken stehen Patches zur Verfügung. Unternehmen sollten diese sofort und dringend anwenden, empfiehlt auch das Schweizer NCSC.
Nicht mal eine Woche später hat Progress jetzt eine dritte Schwachstelle in Moveit bekannt gegeben. "Progress hat eine Schwachstelle in Moveit Transfer entdeckt, die zu erweiterten Berechtigungen und potenziell unbefugtem Zugriff auf die Umgebung führen könnte", schreibt das Unternehmen in einem Advisory.
"Angesichts der neu veröffentlichten Schwachstelle haben wir den Http-Verkehr für Moveit Cloud heruntergefahren und alle Moveit-Transfer-Kunden gebeten, ihren Http- und Https-Verkehr zu drosseln, um ihre Umgebungen zu schützen, während ein Patch erstellt und getestet wurde", so Progress. Das Unternehmen empfiehlt dringend, im Advisory erwähnte Abwehrmassnahmen sofort zu ergreifen.

Loading

Mehr zum Thema

image

"Wir legen den Schwerpunkt auf die Störung der Bedrohungsakteure"

An den Swiss Cyber Security Days in Bern ging es in den Keynotes nicht nur um Verteidigung, sondern auch um offensive Aktionen. Zum Beispiel durch das FBI.

publiziert am 21.2.2024
image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Millionen-Kopfgeld auch für Chefs der Alphv-Bande

Nach Hive nimmt die US-Regierung eine weitere Ransomware-Bande ins Visier. Sie hatte in der Schweiz unter anderem Bernina attackiert.

publiziert am 19.2.2024
image

Schwachstellen der deutschen E-ID gibt es auch bei Schweizer Lösung

Aufgrund einer Sicherheitslücke kann die deutsche E-ID dazu genutzt werden, um unter fremdem Namen ein Bankkonto zu eröffnen. Nach aktuellem Stand wäre dies auch beim digitalen Pass der Schweiz möglich.

publiziert am 19.2.2024 1