Inhaltsverzeichnis
Die Ausnutzung der Sicherheitslücke in der MOVEit Transfer-Software legt sensible Daten britischer Unternehmen offen und gefährdet die Sicherheit der Mitarbeiter
Mehrere bekannte britische Unternehmen, darunter die BBC, British Airways, Boots und Aer Lingus, wurden Opfer eines schwerwiegenden Cybervorfalls. Durch den Verstoß wurden persönliche Daten der Mitarbeiter, einschließlich sensibler Daten wie Bank- und Kontaktdaten, böswilligen Hackern zugänglich gemacht. Diese Cybersicherheitsverletzung wurde einer Ransomware-Gruppe namens Clop zugeschrieben, die speziell auf die Schwachstellen der MOVEit-Dateiübertragungssoftware abzielte. Der Vorfall hat Bedenken hinsichtlich der Sicherheit von Unternehmensdaten und der möglichen Auswirkungen auf betroffene Mitarbeiter geweckt.
In einer kühnen Erklärung, die per E-Mail an Reuters gesendet wurde, bekannten sich die Hacker stolz zu dem Angriff und gaben eine erschreckende Warnung heraus, dass diejenigen, die es wagten, sich ihren Lösegeldforderungen zu widersetzen, auf der Website ihrer Gruppe öffentlich bloßgestellt würden. Frühere Ermittlungen von Microsoft hatten bereits Hinweise auf eine russischsprachige Ransomware- Bande gegeben und deren Beteiligung an dem Vorfall angedeutet. Die schockierende Enthüllung kam letzte Woche, als Cybersicherheitsexperten die Ausnutzung einer Zero-Day-Schwachstelle – einer gefährlichen Schwachstelle – im weit verbreiteten Dateiübertragungssystem MOVEit enthüllten, das von Progress Software entwickelt wurde. Diese Schwachstelle war für Cyberkriminelle das Einfallstor, um in zahlreiche globale Unternehmen, die auf MOVEit Transfer vertrauten, vertrauliche Informationen einzuschleusen und diese abzugreifen.
Unzählige Organisationen fallen den weitreichenden Auswirkungen zum Opfer
Die schockierende Enthüllung ereignete sich am Montag, als der in Großbritannien ansässige Lohn- und Gehaltsabrechnungsdienstleister Zellis bestätigte, dass acht seiner Kunden Opfer des Cybervorfalls geworden waren. Die Namen der betroffenen Organisationen wurden zwar nicht bekannt gegeben, British Airways (BA) räumte jedoch ihre Beteiligung an der besorgniserregenden Situation ein. Angesichts einer Belegschaft von 34.000 Personen im Vereinigten Königreich ist die Gefährdung der Fluggesellschaft durch den Verstoß zutiefst besorgniserregend.
Auch die BBC und Boots, bekannt für ihr umfangreiches Personal von 50.000 Mitarbeitern, waren in das Chaos verwickelt. Während der Sender seine Erleichterung darüber zum Ausdruck brachte, dass die Bankdaten seiner Mitarbeiter sicher blieben, seien Firmenidentifikations- und Sozialversicherungsnummern kompromittiert worden. Aer Lingus, eine Tochtergesellschaft von BA, bestätigte, dass von dem Vorfall sowohl aktuelle als auch ehemalige Mitarbeiter betroffen waren. Allerdings wurden bei diesem alarmierenden Vorfall keine Finanz- oder Bankdaten oder Telefonnummern kompromittiert.
Die Zero-Day-Schwachstelle im Produkt MOVEit Transfer von Progress Software hat erhebliche Auswirkungen auf zahlreiche Unternehmen weltweit. Unternehmensvertreter haben jedoch betont, dass die gesamte Software von Zellis davon nicht betroffen sei und es keine Vorfälle oder Beeinträchtigungen in Bezug auf andere Aspekte der IT-Infrastruktur gemeldet habe.
Eintauchen in die Ursprünge des Angriffs: Ein Bedrohungscluster mit potenziellen russischen Verbindungen
Aktuelle Erkenntnisse des Cybersicherheitsunternehmens Maidant geben Aufschluss über die Ursprünge des Angriffs und identifizieren ihn als einen „neu geschaffenen Bedrohungscluster“ namens UNC4857. Dieser Cluster umfasst bekannte Cyberkriminelle-Gruppen wie FIN11 , TA505 und Clop , die Verbindungen nach Russland hergestellt haben. Das Motiv hinter dem Angriff, ob politischer oder finanzieller Natur, bleibt jedoch ungewiss. Während FIN11 bisher ausschließlich als kriminelle Organisation mit Datenerpressung agierte, wirft dies die Frage auf, ob diese bekannten kriminellen Netzwerke hinter dem Vorfall stecken oder ob Cybersöldner mit ideologischen Motiven im Spiel sind.
Interessanterweise geht die Zahl der vom MOVEit-Angriff betroffenen Opfer über die erwarteten Ziele hinaus. Auch die Regierung von Nova Scotia, ein unwahrscheinliches Ziel für einen staatlich unterstützten Akteur, ist Opfer geworden. Berichten zufolge hatte der Angriff das Potenzial, rund 2.500 MOVEit-Server zu kompromittieren, was das Ausmaß und die Auswirkungen des Verstoßes noch verstärkte. Ipswitch, der Entwickler von IT-Management-Software, hat die Anzahl der Unternehmen, die ihre Software zum Zeitpunkt des Vorfalls nutzten, noch nicht bekannt gegeben, bevor eine Lösung implementiert wurde.
Was den Opfern bevorsteht: Auswirkungen und Ausblick
Im weiteren Verlauf der Situation müssen sich Opferorganisationen auf mögliche Erpressungsversuche, die Offenlegung gestohlener Daten und die Möglichkeit einer öffentlichen Schande durch den Bedrohungsakteur einstellen. Vermutlich werden die Cyberkriminellen bald Kontakt zu ihren Opfern aufnehmen, Erpressungsforderungen stellen und die auf ihrer Liste stehenden Personen systematisch ins Visier nehmen. Um weiteren Schaden zu verhindern, wird allen Organisationen empfohlen, unabhängig davon, wann die Software gepatcht wurde, eine gründliche forensische Analyse ihrer Systeme durchzuführen, wenn die MOVEit-Webschnittstelle dem Internet ausgesetzt war.
Aufdecken der Cybersicherheitslücke: BA, BBC und Boots legen Kontakt- und Bankdaten offen Screenshots
