Moveit-Lücke: Angriffe häufen sich

7. Juni 2023 um 11:22
  • security
  • cyberangriff
  • lücke
  • cybercrime
  • ransomware
image
Foto: Pixabay

In Grossbritannien wurden British Airways und 'BBC' gehackt. Die Ransomware-Bande Clop sagt, sie habe bereits viele Unternehmen über diese Schwachstelle geknackt und stellt potentiellen Opfern ein Ultimatum.

Ende Mai wurde bekannt, dass Hacker eine Zero-Day Schwachstelle in der Software Moveit nutzen, um Netzwerke zu knacken. Die Managed-File-Transfer-Lösung von Ipswitch, einer Tochtergesellschaft des US-Herstellers Progress Software, wird weltweit von zahlreichen Unternehmen eingesetzt. Das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) warnte vor einigen Tagen eindringlich vor dieser kritischen Lücke.
Anfang Juni hat der Hersteller einen Patch veröffentlicht, der die Lücke schliessen soll. Aber für viele Opfer könnte es bereits zu spät sein, diesen noch einzuspielen. In Grossbritannien wurde bekannt, dass 'BBC', British Airways sowie die Drogeriekette Boots über die Moveit-Lücke angegriffen wurden. Auf ihrer Darknet-Seite behauptet die Ranosmware-Bande Clop, dass sie hinter den Angriffen stehe. Und sie droht allen Unternehmen, die Moveit anwenden: "Die Chancen sind gross, dass wir eure Daten bereits heruntergeladen haben." Zynisch fügt sie an: "Entspannt euch, eure Daten sind sicher."

Moveit-Anwender sollen sich proaktiv bei Clop melden

Entspannen? Höchstens ein paar Tage lang. Clop schreibt, dass sich Moveit-Anwender umgehend bei der Bande melden sollen. Falls sie dies nicht tun, werde am 14. Juni der Firmenname auf der Darknet-Site veröffentlicht. Wer sich meldet und tatsächlich gehackt wurde, soll als Beweis 10% der gestohlenen Daten erhalten und kann zusätzlich einige zufällig ausgewählte Files verlangen. Danach könne man dann über den Preis verhandeln, so Clop. Wenn es zu keiner Einigung kommt, werde Clop aber nach 7 Tagen mit der Veröffentlichung der gestohlenen Daten beginnen.
Clop versucht also, Angst unter Moveit-Anwendern zu schüren, und zwar anfänglich. ohne einen Beweis, dass ein Unternehmen tatsächlich geknackt wurde und ohne Opfer selbst zu kontaktieren. Fraglich scheint uns, was die Hacker damit bezwecken. Könnten Unternehmen, die sich aktiv melden, zu einer neuen Zielscheibe werden, auch wenn sie bisher noch gar nicht gehackt wurden? Oder versucht die Bande vielleicht herauszufinden, welche Moveit-Anwender besonders nervös sind und damit vielleicht bereit wären, ein höheres Lösegeld zu zahlen?
Das Security-Team von Microsoft erklärte Anfang dieser Woche: "Wir können Attacken Lace Tempest zuordnen, die für Ransomware-Operationen bekannt sind und die Erpresser-Website Clop betreiben."
Auch vom Cybersecurity-Unternehmen Tenable heisst es: "Jüngste Berichte deuten darauf hin, dass die Ausnutzung der Zero-Day-Schwachstelle im Moveit-Transfer der Ransomware-Gruppe Clop zugeschrieben wird. Dies ist nicht überraschend, wenn man bedenkt, dass dies zum Modus Operandi von Clop gehört: Sie waren auch für die Ausnutzung von Zero-Days in anderen Dateiübertragungslösungen wie in Goanywhere Anfang dieses Jahres und 4 Acellion-Schwachstellen Ende 2020 verantwortlich."

Loading

Mehr zum Thema

image

Meldepflicht für kritische Infrastrukturen ist unter Dach und Fach

Das Parlament hat in seiner Schlussabstimmung die Meldepflicht von Cyberangriffen für Betreiber kritischer Infrastrukturen gutgeheissen. Sie tritt aufs neue Jahr in Kraft.

publiziert am 29.9.2023
image

Die USA fahren eine neue Cyberstrategie

Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.

publiziert am 28.9.2023
image

VW fährt Produktion nach IT-Problemen wieder hoch

Seit Mittwoch standen mehrere Werke von Volkswagen wegen eines Informatikproblems still. Einige Systeme könnten laut VW noch immer beeinträchtigt sein.

publiziert am 28.9.2023
image

Basler Finanzkontrolle rügt IT-Sicherheit der Verwaltung

Ein ordnungsgemässer IT-Betrieb kann in der kantonalen Verwaltung "nicht flächendeckend und systematisch nachgewiesen werden", heisst es im Tätigkeitsbericht der Behörde.

publiziert am 26.9.2023 1