Moveit-Lücke zieht immer grössere Kreise

21. Juni 2023 um 12:51
image
Foto: Marek Studzinski / Unsplash

Die Opferliste wird immer länger. Auch ein grosser Schweizer Bau­konzern ist betroffen. Derweil verklagt der Hersteller einen Forscher, der die Lücke öffentlich gemacht hat.

Nachdem Anfang Juni eine kritische Sicherheitslücke in der Managed-File-Transfer-Lösung Moveit von Ipswitch entdeckt wurde, wird die Liste der Opfer immer länger. Die pro-russische Ransomware-Bande Clop bekannte sich kurz nach Bekanntwerden der Zero-Day-Lücke zu vielen Angriffen und behauptete, sie habe unzählige Unternehmen über die Schwachstelle gehackt.
Es folgten zahlreiche Bekanntgaben und eine zusätzliche, noch nicht entdeckte Schwachstelle in Moveit wurde publik. Ab dem 14. Juni nahm die Anzahl der Einträge von Clop auf ihrem Darknet-Blog rapide zu. Darunter befanden sich auch die ersten Schweizer Opfer. Sowohl die Krankenversicherung ÖKK als auch der hier tätige Ferienpark-Betreiber Landal waren auf der Liste zu finden.
Nun ist bekannt geworden, dass Clop auch den international tätigen Schweizer Baukonzern Marti erpresst. Mit rund 6000 Mitarbeitenden ist die Marti-Gruppe eines der grössten Bauunternehmen der Schweiz. Gegenüber 'Watson' wollte der Konzern keine Stellungnahme abgeben.

Verändertes Vorgehen

Bis zum 20. Juni listete Clop über 280 Organisationen als Opfer auf. Neu hinzugekommen ist beispielsweise der brasilianische Ableger der Zurich-Versicherung. Gleichzeitig behauptete die Gruppe in einer E-Mail, dass sie nicht für die Angriffe auf British Airways und 'BBC' verantwortlich ist. Deshalb besteht auch die Möglichkeit, dass eine weitere unbekannte Hackerbande die Sicherheitslücke ausnutzt.
Security-Fachleute gehen davon aus, dass die Moveit-Angriffe noch weitreichend sein könnten. Einem Bericht von Cybersixgill zufolge nutzen mehr als 3800 Hosts die Dateiübertragungssoftware. Die Forschenden stellten zudem fest, dass die Ausnutzung der Sicherheitslücke mit dem Modus Operandi von Clop übereinstimmt.
Bei den Angriffen seien aber offenbar keine Daten verschlüsselt worden, schreiben die Sicherheitsforschenden. Stattdessen sei der Ansatz von Datendiebstahl und Erpressung gewählt worden. Eine Strategie, die herkömmliche Ransomware-Angriffe ersetzen, die aber als weniger effizient und riskant gilt.

Klage gegen Security-Forscher

Die Muttergesellschaft von Ipswitch, der US-Hersteller Progress Software, hat aufgrund des Vorfalls einen Forscher verklagt, der in einem Tweet über die Zero-Day-Schwachstelle informiert hatte. Die Mitteilung habe die Kundschaft des Unternehmens "einem erhöhten Risiko ausgesetzt", so Progress.
Wie 'CRN' schreibt, wurde die Cloud-Version des Dateiübertragungs­pro­gramms in der vergangenen Woche vorübergehend vom Netz genommen. Progress bemängelt insbesondere, dass der Forscher den üblichen Prozess der "verantwortungsvollen Offenlegung" nicht befolgt habe und das Unternehmen so zu wenig Zeit für die Behebung der Lücke gehabt hätte .

Loading

Mehr zum Thema

image

Vom schwächsten Glied zum Sicherheits­faktor

Es greife zu kurz, den Menschen nur als Risikofaktor in der Cybersicherheit zu sehen, schreibt Verena Zimmermann. Vielmehr sollten die Fähigkeiten der Nutzenden gezielt zur Steigerung der Cybersicherheit eingesetzt werden.

publiziert am 2.12.2024
image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024
image

Sicherheitslücke in Aargauer Easytax-Version

Der Kanton warnt. Vorhandene Versionen sollten gelöscht werden.

publiziert am 29.11.2024