BBC, BA und Boots stellen der Cyber-Gang Clop ein Ultimatum

Aug 12, 2023

Eine produktive Cyberkriminalitätsbande, von der angenommen wird, dass sie ihren Sitz in Russland hat, hat den Opfern eines Hackerangriffs, der Unternehmen auf der ganzen Welt getroffen hat, ein Ultimatum gestellt.

Die Clop-Gruppe veröffentlichte eine Warnung an die vom MOVEit-Hack betroffenen Dark-Web-Unternehmen und forderte sie auf, ihnen vor dem 14. Juni eine E-Mail zu senden, da die gestohlenen Daten sonst veröffentlicht werden.

Mehr als 100.000 Mitarbeitern der BBC, British Airways und Boots wurde mitgeteilt, dass möglicherweise Gehaltsdaten gestohlen wurden.

Arbeitgeber werden aufgefordert, nicht zu zahlen, wenn die Hacker ein Lösegeld verlangen.

Untersuchungen zur Cybersicherheit deuteten zuvor darauf hin, dass Clop für den Hack verantwortlich sein könnte, der letzte Woche erstmals bekannt gegeben wurde.

Die Kriminellen fanden einen Weg, in eine beliebte Unternehmenssoftware namens MOVEit einzudringen und konnten diesen Zugriff dann nutzen, um in die Datenbanken potenziell Hunderter anderer Unternehmen einzudringen.

Analysten von Microsoft sagten am Montag, dass sie glauben, Clop sei schuld, basierend auf den bei dem Hack verwendeten Techniken.

Dies wurde nun in einem langen, in gebrochenem Englisch verfassten Blogbeitrag bestätigt.

In dem von der BBC eingesehenen Beitrag heißt es: „Dies ist eine Ankündigung, um Unternehmen, die das Progress MOVEit-Produkt verwenden, darüber aufzuklären, dass die Möglichkeit besteht, dass wir im Rahmen einer außergewöhnlichen Ausnutzung viele Ihrer Daten herunterladen.“

In dem Beitrag werden Opferorganisationen weiterhin aufgefordert, eine E-Mail an die Bande zu senden, um Verhandlungen auf dem Darknet-Portal der Bande aufzunehmen.

Dies ist eine ungewöhnliche Taktik, da die Hacker normalerweise Lösegeldforderungen per E-Mail an Opferorganisationen senden. In diesem Fall verlangen sie jedoch, dass die Opfer Kontakt aufnehmen. Dies könnte daran liegen, dass Clop selbst nicht mit dem Ausmaß des Hacks mithalten kann, der immer noch weltweit verarbeitet wird.

„Ich gehe davon aus, dass sie einfach über so viele Daten verfügen, dass es für sie schwierig ist, den Überblick zu behalten. Sie wetten darauf, dass man sie kontaktieren wird, wenn man es weiß“, sagt Amir Hadžipasić, CEO von SOS Intelligence.

MOVEit wird von Progress Software in den USA für viele Unternehmen bereitgestellt, um Dateien sicher in Unternehmenssystemen zu verschieben. Einer seiner Nutzer war der in Großbritannien ansässige Lohn- und Gehaltsabrechnungsdienstleister Zellis.

Zellis hat bestätigt, dass dadurch Daten von acht britischen Organisationen gestohlen wurden, darunter Privatadressen, Sozialversicherungsnummern und in einigen Fällen Bankdaten. Nicht bei allen Unternehmen wurden die gleichen Daten offengelegt.

Zu den Kunden von Zellis, bei denen es zu Verstößen kam, gehören:

Die Regierung von Nova Scotia und die University of Rochester warnen ihre Mitarbeiter außerdem davor, dass Daten möglicherweise durch die MOVEit-Sicherheitslücke gestohlen wurden.

Der Rat von Experten lautet, dass Einzelpersonen nicht in Panik geraten sollten und dass Organisationen Sicherheitsüberprüfungen durchführen sollten, die von Behörden wie der Cyber ​​Security and Infrastructure Authority in den USA durchgeführt werden.

Clop behauptet auf seiner Leak-Site, dass es jegliche Daten von Regierungs-, Stadt- oder Polizeidiensten gelöscht habe.

„Machen Sie sich keine Sorgen, wir haben Ihre Daten gelöscht. Sie müssen uns nicht kontaktieren. Wir haben kein Interesse daran, solche Informationen preiszugeben“, heißt es darin.

Den Kriminellen sei jedoch nicht zu trauen, sagen Forscher.

„Clops Behauptung, Informationen zu Organisationen des öffentlichen Sektors gelöscht zu haben, ist mit Vorsicht zu genießen. Wenn die Informationen einen monetären Wert haben oder für Phishing verwendet werden könnten, ist es unwahrscheinlich, dass sie sie einfach entsorgt haben“, sagte Brett Callow drohend Forscher von Emsisoft.

Cyber-Sicherheitsexperten haben die Exploits von Clop schon seit langem verfolgt, das vermutlich in Russland ansässig ist, da es hauptsächlich in russischsprachigen Foren operiert.

Russland wird seit langem vorgeworfen, ein sicherer Hafen für Ransomware-Banden zu sein – was es bestreitet.

Allerdings läuft Clop als „Ransomware as a Service“-Gruppe, was bedeutet, dass Hacker ihre Tools mieten können, um Angriffe von überall aus durchzuführen.

Im Jahr 2021 wurden mutmaßliche Clop-Hacker in der Ukraine im Rahmen einer gemeinsamen Operation der Ukraine, der USA und Südkoreas festgenommen.

Damals behaupteten die Behörden, die Gruppe niedergeschlagen zu haben, die ihrer Meinung nach für die Erpressung von 500 Millionen US-Dollar von Opfern auf der ganzen Welt verantwortlich sei.

Aber Clop ist weiterhin eine anhaltende Bedrohung.

BBC, BA und Boots gehören zu den Opfern eines Massenhacks zur Gehaltsabrechnung

Welche Maßnahmen können diejenigen ergreifen, die in Massen-Hacks verwickelt sind?