Eine Zero-Day-Schwachstelle in dem weit verbreiteten Dateiübertragungsdienst MOVEit hat es Ransomware-Akteuren erlaubt, in großem Umfang Daten abzugreifen. Inzwischen hat es eine Vielzahl von Erpressungsversuchen gegeben, unter anderem sind Bundesbehörden der USA mit Ransom-Forderungen konfrontiert worden. Nach Analysen des Cyber-Security-Anbieters Mandiant mit Sitz in Alexandria, Virginia, ist die Sicherheitslücke erstmals am 27. Mai 2023 ausgenutzt worden. Der Anbieter der MOVEit-Software, das US-amerikanische Unternehmen Progress Software Corporation, hat in der Zwischenzeit mehrere Sicherheitspatches veröffentlicht.
Bei Moveit handelt es sich um eine Datentransfer-Software mit dualem Angebot, sie kann sowohl in der Cloud betrieben als auch selbst als Internetdienst gehostet werden. Die Schwachstelle, die es Angreifern ermöglicht, Zugriff auf die Transfer-Datenbanken von Nutzern zu erhalten, ist eine SQL-Injection-Fehlprogrammierung in der Webanwendung. In der von Progress herausgegebenen Schwachstellenbeschreibung CVE-2023-34362 heißt es dazu, dass Angreifer je nach der verwendeten Datenbank-Engine (MySQL, Microsoft SQL Server oder Azure SQL) Informationen über die Struktur und den Inhalt der Datenbank ableiten und SQL-Anweisungen ausführen, die Datenbankelemente möglicherweise sogar ändern oder löschen können. Laut der Sicherheitsexperten von Mandiant nutzen die Hacker eine Webshell mit dem Namen Lemurloot. Entsprechende Samples mit den Dateinamen human2.aspx und _human2.aspx seien entdeckt worden. [1] Bei Progress in Bedford, Massachusetts, empfiehlt man dringend, solche Dateien zu löschen. Nach Einschätzung von Sicherheitsexperten steckt eine für Ransomware-Kampagnen bekannte Hackergruppe namens Lace Tempest hinter den Angriffen, die auch als Betreiber der Erpresser-Website Cl0p angesehen wird.
Auf der Erpresser-Website Cl0p ist nach dem Einbruch eine Nachricht veröffentlicht worden, dass die exfiltrierten Daten der Opfer gelöscht worden seien. Betroffene Unternehmen sollten solchen Drohungen jedoch nicht vertrauen, wie Erfahrungen mit anderen globalen Ransomware-Kampagnen zeigen. In den USA sind gleich mehrere Bundesbehörden, darunter auch Abteilungen des US-Energieministeriums (DOE), Opfer dieses Cyber-Angriffs geworden. Das DOE hat das Eindringen der Kriminellen als „ernsten Vorfall“ eingestuft. Möglicherweise sind zehntausende persönlicher Daten von DOE-Mitarbeitern und -Auftragnehmern durch die Sicherheitsverletzung gefährdet. Auch das US-Ministerium für Cybersecurity and Infrastructure Security (CISA) beschäftigt sich mit dem Vorfall. CISA-Direktor Jen Easterly beschreibt die Ransomware-Angriffe der aktuellen Kampagne allerdings als weitgehend opportunistisch und wenig zielgerichtet.
Da die Transfersoftware so weit verbreitet ist und neben Behörden auch Unternehmen mit MOVEit arbeiten, ist jedoch mit weiteren Erpressungsversuchen zu rechnen. Experten gehen davon aus, dass die Bedrohungsakteure die MOVEit-Schwachstelle auch für SQL-Abfragen in Deutschland genutzt haben und der Diebstahl von Daten bereits erfolgt ist. Allein aufgrund der Masse der abgegriffenen Daten müssen die Erpresser anscheinend bei der Kontaktaufnahme mit ihren Opfern zeitlich gestaffelt vorgehen. Hierzulande verwenden unter anderem Krankenkassen die Software. Die fatale Schwachstelle selbst ist nach Angaben des AOK-Bundesverbandes inzwischen gepatcht, allerdings werde noch geprüft, „ob die Sicherheitslücke einen Zugriff auf die Sozialdaten von Versicherten ermöglicht hat“. [2]
„Zur Cyberrealität gehört es heutzutage, dass Menschen mit Geld und Knowhow nach neuen Lücken in Software suchen, so genannte Zero Days, um diese für Angriffe auszunutzen“, kommentiert Richard Werner, Business Consultant beim Cyber-Sicherheitsanbieter Trend Micro, die neuesten Entwicklungen. „Damit sind Unternehmen und Behörden aufgefordert, vor allem ihre Reaktionsgeschwindigkeit zu optimieren. Dazu gehört es, stets in der Lage zu sein, die eigene, sich
ständig verändernde Angriffsoberfläche auf ihre Risiken hin zu bewerten und auch kurzfristig Gegenmaßnahmen zu ergreifen.“ Cyber-Risiken stellen gleichzeitig Geschäftsrisiken dar, sodass es für Unternehmen Priorität haben muss, den Austausch digitaler Informationen sicherer zu machen.
1] https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft
2] https://www.aok-bv.de/presse/pressemitteilungen/2023/index_26408.html
