Nachdem Anfang Juni eine
kritische Sicherheitslücke in der Managed-File-Transfer-Lösung Moveit von Ipswitch entdeckt wurde, wird die Liste der Opfer immer länger. Die pro-russische Ransomware-Bande Clop bekannte sich kurz nach Bekanntwerden der Zero-Day-Lücke zu vielen Angriffen und behauptete, sie habe unzählige Unternehmen über die Schwachstelle gehackt.
Es folgten zahlreiche Bekanntgaben und eine zusätzliche,
noch nicht entdeckte Schwachstelle in Moveit wurde publik. Ab dem 14. Juni nahm die Anzahl der Einträge von Clop auf ihrem Darknet-Blog rapide zu. Darunter befanden sich auch die
ersten Schweizer Opfer. Sowohl die Krankenversicherung ÖKK als auch der hier tätige Ferienpark-Betreiber Landal waren auf der Liste zu finden.
Nun ist bekannt geworden, dass Clop auch den international tätigen Schweizer Baukonzern Marti erpresst. Mit rund 6000 Mitarbeitenden ist die Marti-Gruppe eines der grössten Bauunternehmen der Schweiz. Gegenüber
'Watson' wollte der Konzern keine Stellungnahme abgeben.
Verändertes Vorgehen
Bis zum 20. Juni listete Clop über 280 Organisationen als Opfer auf. Neu hinzugekommen ist beispielsweise der brasilianische Ableger der Zurich-Versicherung. Gleichzeitig behauptete die Gruppe in einer E-Mail, dass sie nicht für die
Angriffe auf British Airways und 'BBC' verantwortlich ist. Deshalb besteht auch die Möglichkeit, dass eine weitere unbekannte Hackerbande die Sicherheitslücke ausnutzt.
Security-Fachleute gehen davon aus, dass die Moveit-Angriffe noch weitreichend sein könnten. Einem
Bericht von Cybersixgill zufolge nutzen mehr als 3800 Hosts die Dateiübertragungssoftware. Die Forschenden stellten zudem fest, dass die Ausnutzung der Sicherheitslücke mit dem Modus Operandi von Clop übereinstimmt.
Bei den Angriffen seien aber offenbar keine Daten verschlüsselt worden, schreiben die Sicherheitsforschenden. Stattdessen sei der Ansatz von Datendiebstahl und Erpressung gewählt worden. Eine Strategie, die herkömmliche Ransomware-Angriffe ersetzen, die aber als weniger effizient und riskant gilt.
Klage gegen Security-Forscher
Die Muttergesellschaft von Ipswitch, der US-Hersteller Progress Software, hat aufgrund des Vorfalls einen Forscher verklagt, der in einem Tweet über die Zero-Day-Schwachstelle informiert hatte. Die Mitteilung habe die Kundschaft des Unternehmens "einem erhöhten Risiko ausgesetzt", so Progress.
Wie
'CRN' schreibt, wurde die Cloud-Version des Dateiübertragungsprogramms in der vergangenen Woche vorübergehend vom Netz genommen. Progress bemängelt insbesondere, dass der Forscher den üblichen Prozess der "verantwortungsvollen Offenlegung" nicht befolgt habe und das Unternehmen so zu wenig Zeit für die Behebung der Lücke gehabt hätte .