Cybergang Cl0p: Über MOVEit-Sicherheitslücken auch US-Behörden angegriffen
Über Lücken in der Dateimanagement-Software MOVEit gelangten Angreifer in hunderte Intranets. Nun ist bestätigt: Auch US-Behörden sind unter den Opfern.
(Bild: WhataWin/Shutterstock.com)
Sicherheitslücken in der Dateiübertragungssoftware MOVEit Transfer haben zahlreiche Firmen und Institutionen weltweit angreifbar gemacht, und viele sind darüber Opfer einer Gruppe von Cyberkriminellen geworden, die vertrauliche Daten kopiert und dann Lösegeld verlangt. Wie nun bekannt wurde, sind auch etliche Behörden und Regierungseinrichtungen in den USA unter den Opfern. Die Angreifer, Cyberkriminelle einer Gruppe mit der Selbstbezeichnung "Cl0p", hatten zwar zunächst mitgeteilt, nur an Firmen interessiert zu sein und erbeutete Daten von Behörden zu löschen, jedoch sind mittlerweile auch beim US-Energieministerium zwei Erpresserschreiben eingegangen.
Auch Regierungsbehörden in USA infiltriert
Die Cyberkriminellen von Cl0p nutzen seit längerem mehrere Schwachstellen in der Dateiübertragungssoftware MOVEit Transfer aus und erhalten dadurch Zugriff auf das Intranet der Opfer. MOVEit Transfer vom Hersteller Progress Software (vormals Ipswitch) soll eigentlich sichere Dateiübertragungen für Unternehmen und Behörden bereitstellen, ist jedoch von mehreren, gefährlichen Schwachstellen geplagt, für die inzwischen Updates vorliegen. Die US-amerikanische IT-Sicherheitsbehörde Cybersecurity and Infrastructure Security Agency (CISA) hat bestätigt, dass allein in den USA viele Hundert Firmen und Institutionen Opfer der Angriffe geworden sein dürften, darunter auch mehrere US-Bundesbehörden, berichtete CNN bereits am Donnerstag.
Mittlerweile hat die US-Regierung bestätigt, dass Bundesbehörden unter den Betroffenen sind, nannte jedoch ebenso wie CISA keine Namen. Wie die Website Techcrunch schreibt, ist das US-Energieministerium unter den Opfern: Betroffen sind mindestens das zu Ausbildungszwecken verbundene Universitätskonsortium Oak Ridge sowie eine Mülltrennungs-Testanlage in New Mexico, wodurch wahrscheinlich die Daten von Zehntausenden Personen und Institutionen kopiert wurden, darunter Mitarbeiter und Vertragspartner. Es wird befürchtet, dass etwa ein Dutzend US-Regierungsinstitutionen unter den Opfern sein könnten.
US-Energieministerium erpresst
Am Freitag wurde zudem bekannt, dass beim Energieministerium Erpresserschreiben für diese beiden Opfer des Angriffs eingegangen sind, berichtet Reuters. Dabei soll es sich um gezielt an den Adressaten gerichtete Schreiben per E-Mail gehandelt haben (nicht um Massen-Nachrichten). Zur Höhe der Lösegeldforderung gab es keine Angaben. Das Energieministerium arbeite mit Strafverfolgungsbehörden und der CISA zusammen und habe außerdem den US-Kongress über die Vorfälle informiert. Das Ministerium ist unter anderem für die Verwaltung von Nuklearwaffenstützpunkten und die Atommüllentsorgung des US-Militärs zuständig.
Hersteller Progress Software musste für MOVEit Transfer bereits drei kritische Sicherheitslücken in kurzer Zeit melden. Die Cybergang Cl0p hat im Darknet bereits zahlreiche Namen von Opfern weltweit veröffentlicht, darunter Banken und prominente Firmen wie Shell oder auch Heidelberger Druckmaschinen in Deutschland. Belege über tatsächlich erbeutete Daten sind bislang aber noch nicht aufgetaucht. Laut Eigenauskunft sei Cl0p nur an Firmendaten interessiert und lösche erbeutete Informationen aus angegriffenen Staatseinrichtungen. Dem widersprechen jedoch die beiden Erpresserschreiben an das US-Energieministerium (sofern sie denn wirklich von Cl0p stammen). Die Gruppe Cl0p kommuniziert teils auf Russisch, deshalb wird ihr Ursprung in Russland vermutet.
(tiw)
