Die Opfer eines Hacks, der Organisationen auf der ganzen Welt in Mitleidenschaft gezogen hat, haben ein Ultimatum von einer weit verbreiteten Cybercrime-Bande erhalten, die ihren Sitz vermutlich in Russland hat.
Die Clop-Gruppe hat im Dark Web eine Warnung veröffentlicht, in der sie alle vom MOVEit-Hack Betroffenen auffordert, sich bis zum 14. Juni per E-Mail an sie zu wenden, andernfalls würden die gestohlenen Daten veröffentlicht.
Über 100.000 Mitarbeiter der BBC, British Airways und Boots wurden darüber informiert, dass ihre Gehaltsabrechnungen gestohlen worden sein könnten.
Wenn die Hacker ein Lösegeld fordern, werden die Arbeitgeber aufgefordert, dem nicht nachzukommen.
Der Hack, über den letzte Woche erstmals berichtet wurde, könnte nach früheren Cybersicherheitsuntersuchungen das Ergebnis von Clop gewesen sein.
Die Kriminellen entdeckten eine Möglichkeit, in MOVEit, eine bekannte Unternehmenssoftware, einzudringen, und nutzten diesen Zugang, um sich Zugang zu den Datenbanken von möglicherweise Hunderten von anderen Unternehmen zu verschaffen.
Ausgehend von den verwendeten Hacking-Methoden haben Microsoft-Analysten am Montag erklärt, dass sie Clop für den Fehler verantwortlich machen.
In einem langen Blog-Beitrag, der in schlampigem Englisch verfasst war, wurde dies nun bestätigt.
In dem Beitrag, der der BBC vorliegt, heißt es: "Dies ist eine Ankündigung, um Unternehmen, die das Progress MOVEit-Produkt verwenden, darüber zu informieren, dass es möglich ist, dass wir eine Menge Ihrer Daten als Teil eines außergewöhnlichen Exploits herunterladen. "
Um die Verhandlungen über das Darknet-Portal der Bande zu beginnen, werden die Opfer aufgefordert, eine E-Mail an die Bande zu schicken.
Dies ist eine ungewöhnliche Taktik, denn normalerweise schicken die Hacker den Opfern eine E-Mail mit Lösegeldforderungen, aber in diesem Fall fordern die Hacker die Opfer auf, sie direkt zu kontaktieren. Dies könnte darauf zurückzuführen sein, dass Clop nicht in der Lage war, das Ausmaß des Hacks zu bewältigen, der immer noch weltweit untersucht wird.
Viele US-Unternehmen verwenden MOVEit von Progress Software, um Dateien auf sichere Weise in Unternehmenssystemen zu bewegen. Einer der Nutzer war das britische Unternehmen Zellis, ein Anbieter von Lohn- und Gehaltsabrechnungen.
Zu den gestohlenen Informationen von acht Unternehmen gehörten nach Angaben von Zellis auch Privatadressen, Sozialversicherungsnummern und in einigen Fällen auch Bankdaten.
Bislang hat jede der folgenden Organisationen behauptet, dass es zu einem Datendiebstahl gekommen sein könnte.
- BBC.
- American Airlines.
- Air Lines.
- Boots.
- Gov. von Nova Scotia.
- Es ist die Universität von Rochester.
Nach Ansicht von Experten sollten die Menschen nicht in Panik geraten und Organisationen sollten die Sicherheitsrichtlinien befolgen, die von Organisationen wie der US-Behörde für Cybersicherheit und Infrastruktur herausgegeben werden.
Auf der Leck-Website behauptet Clop, alle Daten von städtischen, staatlichen und bundesstaatlichen Behörden sowie von Polizeidiensten gelöscht zu haben.
Sie brauchen sich nicht an uns zu wenden, da wir Ihre Daten gelöscht haben, also machen Sie sich keine Sorgen. Wir sind nicht daran interessiert, solche Informationen weiterzugeben."
Experten halten es jedoch für unklug, den Kriminellen zu vertrauen.
"Clops Behauptung, er habe Daten öffentlicher Einrichtungen gelöscht, sollte man mit Vorsicht genießen. Es ist unwahrscheinlich, dass sie die Informationen einfach entsorgt hätten, wenn sie einen monetären Wert hätten oder für Phishing verwendet werden könnten, so Brett Callow, ein Emsisoft-Bedrohungsforscher.
Die Angriffe von Clop, von dem man annimmt, dass er in Russland ansässig ist, da er hauptsächlich in russischsprachigen Foren operiert, werden von Cyber-Sicherheitsexperten schon seit langem beobachtet.
Russland wird seit langem beschuldigt, einen Zufluchtsort für Ransomware-Banden zu bieten, ein Vorwurf, den es bestreitet.
Da es sich bei Clop um eine "Ransomware-as-a-Service"-Organisation handelt, können Angreifer ihre Ausrüstung mieten und Angriffe von jedem beliebigen Ort aus starten.
Eine gemeinsame Operation der Ukraine, der USA und Südkoreas führte im Jahr 2021 zur Verhaftung mutmaßlicher Clop-Hacker in der Ukraine.
Zu dieser Zeit behaupteten die Behörden, sie hätten die Organisation zerschlagen, die angeblich 500 Millionen Dollar von Opfern in aller Welt erpresst habe.
Allerdings ist Clop eine ständige Bedrohung geblieben.
