Moveit-Lücke: Angriffe häufen sich

7. Juni 2023 um 11:22
  • security
  • cyberangriff
  • lücke
  • cybercrime
  • ransomware
image
Foto: Pixabay

In Grossbritannien wurden British Airways und 'BBC' gehackt. Die Ransomware-Bande Clop sagt, sie habe bereits viele Unternehmen über diese Schwachstelle geknackt und stellt potentiellen Opfern ein Ultimatum.

Ende Mai wurde bekannt, dass Hacker eine Zero-Day Schwachstelle in der Software Moveit nutzen, um Netzwerke zu knacken. Die Managed-File-Transfer-Lösung von Ipswitch, einer Tochtergesellschaft des US-Herstellers Progress Software, wird weltweit von zahlreichen Unternehmen eingesetzt. Das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) warnte vor einigen Tagen eindringlich vor dieser kritischen Lücke.
Anfang Juni hat der Hersteller einen Patch veröffentlicht, der die Lücke schliessen soll. Aber für viele Opfer könnte es bereits zu spät sein, diesen noch einzuspielen. In Grossbritannien wurde bekannt, dass 'BBC', British Airways sowie die Drogeriekette Boots über die Moveit-Lücke angegriffen wurden. Auf ihrer Darknet-Seite behauptet die Ranosmware-Bande Clop, dass sie hinter den Angriffen stehe. Und sie droht allen Unternehmen, die Moveit anwenden: "Die Chancen sind gross, dass wir eure Daten bereits heruntergeladen haben." Zynisch fügt sie an: "Entspannt euch, eure Daten sind sicher."

Moveit-Anwender sollen sich proaktiv bei Clop melden

Entspannen? Höchstens ein paar Tage lang. Clop schreibt, dass sich Moveit-Anwender umgehend bei der Bande melden sollen. Falls sie dies nicht tun, werde am 14. Juni der Firmenname auf der Darknet-Site veröffentlicht. Wer sich meldet und tatsächlich gehackt wurde, soll als Beweis 10% der gestohlenen Daten erhalten und kann zusätzlich einige zufällig ausgewählte Files verlangen. Danach könne man dann über den Preis verhandeln, so Clop. Wenn es zu keiner Einigung kommt, werde Clop aber nach 7 Tagen mit der Veröffentlichung der gestohlenen Daten beginnen.
Clop versucht also, Angst unter Moveit-Anwendern zu schüren, und zwar anfänglich. ohne einen Beweis, dass ein Unternehmen tatsächlich geknackt wurde und ohne Opfer selbst zu kontaktieren. Fraglich scheint uns, was die Hacker damit bezwecken. Könnten Unternehmen, die sich aktiv melden, zu einer neuen Zielscheibe werden, auch wenn sie bisher noch gar nicht gehackt wurden? Oder versucht die Bande vielleicht herauszufinden, welche Moveit-Anwender besonders nervös sind und damit vielleicht bereit wären, ein höheres Lösegeld zu zahlen?
Das Security-Team von Microsoft erklärte Anfang dieser Woche: "Wir können Attacken Lace Tempest zuordnen, die für Ransomware-Operationen bekannt sind und die Erpresser-Website Clop betreiben."
Auch vom Cybersecurity-Unternehmen Tenable heisst es: "Jüngste Berichte deuten darauf hin, dass die Ausnutzung der Zero-Day-Schwachstelle im Moveit-Transfer der Ransomware-Gruppe Clop zugeschrieben wird. Dies ist nicht überraschend, wenn man bedenkt, dass dies zum Modus Operandi von Clop gehört: Sie waren auch für die Ausnutzung von Zero-Days in anderen Dateiübertragungslösungen wie in Goanywhere Anfang dieses Jahres und 4 Acellion-Schwachstellen Ende 2020 verantwortlich."

Loading

Mehr zum Thema

image

Cyberangriff auf Zentralverein für das Blindenwesen

Bei einem Angriff auf das IT-Netzwerk sind Daten abgeflossen. Mittlerweile seien die Daten gesichert und die Systeme teilweise wieder hochgefahren worden.

publiziert am 25.4.2025
image

Infostealer, ungeschützte Repositories: Aktuelle Security-Trends

Hacker nutzen vermehrt alternative Angriffsmethoden, um Unternehmensnetzwerke zu knacken. Exploits bleiben trotzdem der Hauptangriffsvektor.

publiziert am 25.4.2025
image

Auch das Fedpol setzt auf ein US-Analysetool

Nach den Polizeibehörden in Bern und Zürich beschafft auch der Bund Chainalysis für Krypto-Verfolgungen. Der Auftrag wurde freihändig vergeben.

publiziert am 25.4.2025
image

Swiss Cyber Security Days widmen sich der digitalen Souveränität

Die nächste Ausgabe der SCSD steht unter dem Motto "Digital Sovereignty – The New Frontier". Sie findet im Februar 2026 in Bern statt.

publiziert am 24.4.2025