Vor knapp einer Woche musste Datensecurity-Spezialist Rubrik einen blamablen Vorfall einräumen. Die Ransomware-Bande Clop präsentierte eine Auswahl interner Daten des Unternehmens auf ihrer Leak-Site und drohte mit Veröffentlichung von grossen Datenpaketen. Die Blamage hielt sich aber in Grenzen. Clop hatte nicht Rubrik selbst geknackt, sondern war durch eine Zero-Day-Schwachstelle, eine zuvor unbekannte Lücke, in einen Dienst eingedrungen, den das Unternehmen nutzte.

Im Februar hatte die Bande bereits erklärt, dass man jene Sicherheitslücke im Administrations-Zugang zu Goanywhere Managed File Transfer (MFT) ausgenutzt habe. Es handelt sich um ein populäres Tool, das den Austausch von Daten zwischen Systemen, Mitarbeitenden, Kunden und Geschäftspartnern optimieren und absichern soll. Clop gab an, über die Lücke in rund 130 Unternehmen eingedrungen zu sein und dort Ransomware installiert zu haben.

Ransomware-Banden prahlen indes gerne, um potenzielle Opfer ein­zu­schüch­tern und mögliche Partner zu beeindrucken. Doch nun zeigt sich: Der Hinweis von Clop war offenbar kein Bluff, die Liste der betroffenen Firmen wird länger und länger.

Clop hat seit dem Vorfall bei Rubrik am 14. März ganze 67 neue Opfer auf seiner Leaksite aufgelistet. Darunter auch den Schweizer Pharmakonzern Galderma sowie Hitachi Energy mit Hauptsitz in Zürich. Aber auch internationale Grössen wie MunichRE, die Virgin Group UK und der US-Konzern Procter & Gamble mit seinem europäischen Hauptsitz in Genf finden sich dort. Zu den grössten Opfern zählt offenbar der Gesundheitsriese Community Health Systems mit Sitz in New York. Daten von rund 1 Million Patientinnen und Patienten sollen beim Angriff entwendet worden sein.

Die Lücke mit der Nummer CVE-2023-0669 wurde am 3. Februar 2023 publiziert. Fortra, die Entwicklerfirma hinter Goanywhere MFT, veröffentlichte am 6. Februar einen Patch zu "Lizenzantworten", am 9. März folgte eine neue Version mit mehreren Fixes. Ansonsten ist von der Firma nicht viel in Erfahrung zu bringen, wie 'Techcrunch' berichtet. Ob Fortra selbst überhaupt weiss, welche Kunden betroffen sind, ist unklar. Das Magazin hat aber bei Opfern aus der Liste nachgefragt, die das Tool bekanntermassen genutzt haben. Die Hatch Bank und der IT-Sicherheitsspezialist Rubrik, der eingangs erwähnt wurde, kommunizierten nach dem Vorfall aktiv. Zuletzt hatte auch das börsennotierte Bergbauunternehmen Rio Tinto den Verlust von Daten im Zusammenhang mit dem Hack von Goanywhere bekanntgegeben.

Auch Hitachi Energy informierte über den Einbruch und betonte dabei, dass Clop über Goanywhere MFT eingedrungen sei. Die potenziell vom Vorfall betroffenen Mitarbeitenden seien informiert worden. "Nach unserem letzten Kenntnisstand sind unser Netzbetrieb und die Sicherheit der Kundendaten nicht gefährdet", hiess es in einer Mitteilung. Aufgrund des laufenden Verfahrens will die Firma keine Details zum Vorfall nennen. Gegenüber inside-it.ch erklärt die Pressestelle aber, man stehe in Kontakt mit Fortra. Auch eine Person, die behauptete, mit Clop verbunden zu sein, habe sich gemeldet. Man verhandle aber kategorisch nicht mit Cyberkriminellen und habe stattdessen eine Untersuchung eingeleitet. Diese hätten keine Hinweise darauf geliefert, dass das Netz von Hitatchi Energy betroffen sei.

Das Pharmaunternehmen Galderma reagierte auf unsere Anfrage nicht. Es ist das zweite Schweizer Unternehmen auf der Liste und mutmassliches Opfer von Clop. Die Firma aus Zug hatte schon gegenüber 'Techcrunch' keine Informationen nennen wollen.

Diverse internationale Konzerne haben die Datenschutzverletzungen mittlerweile kommuniziert. Der Konsum­güter­riese Procter & Gamble erklärte, dass eine ungenannte Anzahl von Mitarbeitenden vom Vorfall betroffen ist. Dabei sei es den Cyberkriminellen zwar gelungen, Daten zu stehlen, aber die Angreifer hatten keinen Zugriff auf die Finanz- oder Sozialversicherungsdaten der Angestellten. Auch Auswirkungen auf Kundendaten soll es keine gegeben haben.

Der britische Virgin-Konzern und die Stadt Toronto informierten ebenfalls, dass Hacker über eine Sicherheitslücke auf Daten zugreifen konnten. "Wir wurden von einer Ransomware-Bande kontaktiert, die sich selbst als Clop bezeichnet und sich über einen Cyberangriff auf unseren Lieferanten Goanywhere illegal einige Virgin-Red-Dateien verschafft hat", sagte ein Sprecher des Konzerns. Auf der Website der Ransomware-Bande ist zu lesen, dass diese Daten demnächst veröffentlicht werden sollen.