Seit Ende Mai eine erste Schwachstelle in der Managed-File-Transfer-Lösung Moveit
publik wurde, zittern weltweit Unternehmen und Organisationen. Kurz nach der Bekanntgabe der Zero-Day-Lücke erfolgten erste Drohungen der Bande Clop, diese für Datendiebstähle ausgenutzt zu haben.
Die Cyberkriminellen schrieben, dass sich Moveit-Anwender umgehend bei der Bande melden sollen. Falls sie dies nicht tun, werde ab dem 14. Juni der Firmenname von Opfern auf der Darknet-Site veröffentlicht. Nach eigenen Angaben hat die Gruppe weltweit über 230 Unternehmen und Organisationen kompromittiert. Im Gegensatz zu früheren Angriffen verschlüsselte Clop dabei keine Systeme, sondern griff angeblich "nur" Daten ab.
Krankenversicherer ÖKK bestätigt Angriff
Tatsächlich steigen die Einträge von Clop auf ihrer Website im Darknet seit dem 14. Juni rapide an. Darunter sind auch erste Namen aus der Schweiz, wie zuerst
'Watson' berichtete. Clop nennt die Krankenversicherung ÖKK und den auch hierzulande tätigen Ferienpark-Betreiber Landal.
Gegenüber 'Watson' bestätigten beide Unternehmen, von Clop angegriffen worden zu sein. "Wir gehören zu den mutmasslich vielen Betroffenen. Unser Kernsystem mit den Gesundheitsdaten ist nicht tangiert", erklärte Patrick Eisenhut, Leiter Kommunikation der ÖKK. Es seien Personendaten wie Vorname und Name betroffen. Der Krankenversicher betont: "Wir sehen aktuell keinen Anlass, auf die Forderungen (von Clop) einzugehen."
Von Seiten Landal heisst es: "Die Cyberkriminellen verschafften sich auch Zugang zu Landal Greenparks und zu den Daten der Gäste. Ob sie von diesem Zugang auch tatsächlich Gebrauch gemacht haben, wissen wir nicht."
Shell und US-Behörden unter den Opfern
Nach bereits bekannten Vorfällen bei der Fluggesellschaft British Airways, dem Ölkonzern Shell, der irischen Gesundheitsbehörde HSE und Universitäten häufen sich auch in den USA die Meldungen zu Angriffen über die Moveit-Lücke. Wie unter anderem
'Forbes' berichtet, bestätigten US-Beamte am 15. Juni, dass mehrere Regierungsbehörden, darunter das Energieministerium, getroffen wurden. Ob diese Attacken ebenfalls auf das Konto von Clop gehen, ist bis jetzt unklar.
In einem Alert schreibt Hüseyin Can Yuceel, Securityforscher bei Picus: "Da der Zweck der Drohung darin besteht, Opfer unter Druck zu setzen, damit sie das geforderte Lösegeld zahlen, wird Clop die Daten in dieser Woche möglicherweise nicht in vollem Umfang freigeben. Frühere Angriffe zeigen jedoch, dass sie nicht bluffen." Unternehmen sollten aber auf keinen Fall auf die Forderungen der Cyberkriminellen eingehen.
Und schon die dritte Moveit-Schwachstelle
Nicht mal eine Woche später hat Progress jetzt eine dritte Schwachstelle in Moveit bekannt gegeben. "Progress hat eine Schwachstelle in Moveit Transfer entdeckt, die zu erweiterten Berechtigungen und potenziell unbefugtem Zugriff auf die Umgebung führen könnte", schreibt das Unternehmen in einem Advisory.
"Angesichts der neu veröffentlichten Schwachstelle haben wir den Http-Verkehr für Moveit Cloud heruntergefahren und alle Moveit-Transfer-Kunden gebeten, ihren Http- und Https-Verkehr zu drosseln, um ihre Umgebungen zu schützen, während ein Patch erstellt und getestet wurde", so Progress. Das Unternehmen empfiehlt dringend,
im Advisory erwähnte Abwehrmassnahmen sofort zu ergreifen.