Goanywhere-Attacke: Immer mehr Erpressungsopfer bekannt
Russische Ransomware kam über einen Admin-Zugang für den Dateiübertragungsdienst Goanywhere MFT. Die Opfer sind prominente Firmen.
Beim Zugriff auf einen teil der Ransomware-Bande cl0p haben ukrainische Polizisten 2021 unter anderem erhebliche Bargeldmengen gefunden.
(Bild: Cyberpolizei der Ukraine)
Über eine Sicherheitslücke im Administrations-Zugang zu Goanywhere MFT (managed file transfer) hat die russische Bande cl0p im Februar Erpressungsmalware bei angeblich 130 Unternehmen installiert. Seit Mitte März fordert die cl0p-Bande die Opfer ihrer Ransomware auf, zu zahlen. Wie sich zeigt, sind durchwegs namhafte Unternehmen betroffen. Die Liste der bekannten Opfer wird immer länger. Viele schweigen.
Stattdessen setzt cl0p immer mehr Firmennamen auf eine im Darknet veröffentlichte Liste. Techcrunch hat die dort genannten Unternehmen kontaktiert; kein einziges stellt in Abrede, den Dateiübertragungsdienst Goanywhere MFT des Dienstleisters Fortra zu nutzen. Eine besondere Häufung scheint es im Gesundheitsbereich zu geben. Ob und wie sie vom Einbruch betroffen sind, verraten aber die wenigsten genannten Firmen.
Schweigsam geben sich demnach der schweizerische Pharmakonzern Galderma, die Avidia Bank aus Massachusetts, der kanadische Gesundheitsdienstleister Homewood Health, die englische Stiftung für leistbares Wohnen Guinness Partnership, der kolumbianische Energiekonzern Grupo Vanti, das US-Geldinstitut Cornerstone Home Lending, der auf medizinische Dienste spezialisierte Callcentre-Betreiber ITx Companies, das auf geistige Gesundheit von Kindern spezialisierte Start-up Brightline, der Messeausrichter Emerald Expositions und der Medikamenten-Manager MedMinder.
Nach eigenen Angaben glimpflich davongekommen sind die kanadische Millionenstadt Toronto ("keine internen Daten oder Einwohnerdaten ausgeleitet") und der Kaufhausbetreiber Saks FifthAvenue ("nur zu Testzwecken erfundene Kundendaten kopiert"). Unklar ist, ob Goanywhere-Betreiber Fortra überhaupt schon selbst weiß, welche Kunden betroffen sind. Die Täter nutzten eine Sicherheitslücke im Administrationszugang aus; das war nur möglich, wenn sie auf dieses Interface zugreifen konnten. Offenbar hatten circa 140 Fortra-Kunden ihren jeweiligen Admin-Zugang im Internet frei zugänglich gemacht.
Über 1 Millionen US-Patienten betroffen
Besonders übel ist der Einbruch für US-Amerikaner, die Patienten bei Community Health Services sind. Das ist einer der größten Gesundheitsdienstleister in dem Land; er gesteht ein, dass die Gesundheitsdaten von mindestens einer Million Amerikaner in die Hände der Täter gelangt sind. Auch die Hatch Bank und der IT-Sicherheitsspezialist Rubrik kommunizieren offensiv den Hack. Hitachi Energy hat ebenfalls über einen Einbruch informiert, dabei aber angegeben, dass er bei Fortra erfolgt sei.
Avidxchange, ein Start-up, das Software für Zahlungsverkehr anbietet, sagt aus, nur rudimentär betroffen sei. Es verwende Goanywhere lediglich dazu, Daten für den Druck von Schecks an eine Druckerei zu übertragen, nicht aber zur Speicherung von Daten. Unterdessen, berichtet Techcrunch, haben die Verbrecher damit begonnen, Auszüge aus beim Investmentmanager Onex erbeuteten Daten zu veröffentlichen, darunter ausgefüllte Steuerformulare, Zahlungsanweisungen und Mitarbeiterdaten.
(ds)