Zahl der Opfer eines Cyberangriffs auf ein File-Transfer-Tool

„Es ist enorm komplex, die nachgelagerten Auswirkungen sind schwer vorherzusagen, und Unternehmen werden zu diesem Zeitpunkt nicht unbedingt sicher sein, ob sie tatsächlich gefährdet sind“, sagte Brett Callow, Bedrohungsanalyst beim Cybersicherheitsunternehmen Emsisoft.

Seit Progress Software am 31. Mai einen Fehler in MoveIt offengelegt hat, haben mehr als 200 Unternehmen angegeben, dass sie von Cyberangriffen auf die Software betroffen waren, und Hacker haben behauptet, fast 400 Organisationen angegriffen zu haben, so Callow genannt. Die Ransomware-Gruppe Cl0p hat die Verantwortung für die Cyberangriffe übernommen und Daten einiger Opfer auf ihrer Untergrund-Website veröffentlicht.

Seit die Sicherheitslücke erstmals vor Bundesgerichten in den USA aufgedeckt wurde, wurden mindestens 13 Klagen eingereicht, in denen Progress mangelnde Cybersicherheit vorgeworfen wird

Progress hat innerhalb von 48 Stunden nach Entdeckung der ersten Schwachstelle einen Patch veröffentlicht. Das Unternehmen hat ausgegraben Etwa zwei Wochen später entdeckte ich einen weiteren Fehler in MoveIt und veröffentlichte einen Patch. Progress veröffentlichte am 6. Juli drei Fixes für weitere Schwachstellen. „Wir konzentrieren uns weiterhin darauf, unsere Kunden zu unterstützen, indem wir ihnen dabei helfen, die erforderlichen Schritte zur weiteren Absicherung ihrer Umgebungen zu unternehmen, einschließlich der Anwendung der von uns veröffentlichten Fixes“, sagte ein Sprecher von Progress. „Wir arbeiten weiterhin mit branchenführenden Cybersicherheitsexperten zusammen, um das Problem zu untersuchen und sicherzustellen, dass wir alle geeigneten Reaktionsmaßnahmen ergreifen.“

Persönliche Daten von Millionen von Personen wurden bei MoveIt-Hacks bei Unternehmen offengelegt, die vom Energieriesen Shell über den britischen Sender BBC bis hin zu US-Regierungsbehörden wie dem Energieministerium reichen.

Die langfristigen Auswirkungen der Offenlegung erheblicher Mengen personenbezogener Daten könnten für Unternehmen sowie deren Kunden und Mitarbeiter schädlich sein, sagte Callow. Durchgesickerte Daten könnten ein Nährboden für zukünftige Hackerangriffe gegen Einzelpersonen sein, sagte er, und Unternehmen drohen nach solchen Angriffen häufig langwierige rechtliche Schritte.

Das Lebensversicherungsunternehmen Genworth Financial sagte, Hacker hätten auf die Daten von 2,5 bis 2,7 Millionen seiner Kunden und Versicherungsvertreter zugegriffen, darunter Sozialversicherungsnummern, Geburtsdaten, Namen und Adressen. Genworth gab an, MoveIt nicht zu nutzen, sei jedoch durch seinen Bevölkerungsforschungsanbieter PBI Research Services betroffen, der dies tut. PBI sagte, dass man am 2. Juni von dem Angriff erfahren habe und betroffene Kunden kontaktiert habe. In einer Meldung an das US-Gesundheitsministerium vom 14. Juli sagte PBI, dass bei dem Vorfall personenbezogene Daten von rund 1,2 Millionen Menschen offengelegt wurden.

Eine Genworth-Sprecherin sagte, das Unternehmen habe sich „sehr darauf konzentriert, mit PBI zusammenzuarbeiten, um die spezifischen Auswirkungen zu verstehen“.

Genworth sei einer von sechs Lieferanten gewesen, die die Colorado State University darüber informiert hätten, dass sie von MoveIt-Exploits betroffen seien, hieß es in einer Erklärung der Universität. Es sei schwierig zu verstehen, welche Daten betroffen seien, sagte eine Sprecherin der Universität.

„Täglich tauchen neue Details von MoveIt und anderen Drittanbietern auf, sodass die Universität noch keine vollständigen Informationen darüber hat, inwieweit unsere Daten betroffen waren, einschließlich Einzelheiten darüber, welche Universitätsdaten möglicherweise Teil des Vorfalls waren“, heißt es in der Mitteilung sagte eine Sprecherin.

Hacker haben mehrere Supply-Chain-Angriffe auf weit verbreitete Technologietools durchgeführt, die sich auf Unternehmen und Regierungen auf der ganzen Welt ausgeweitet haben, darunter auch solche gegen die Softwareunternehmen SolarWinds im Jahr 2020 und Kaseya im Jahr 2021. Ein Cyberangriff im Jahr 2021 auf ein Tool, das MoveIt ähnelt – Accellion’s File Transfer Appliance – hatte ähnliche Welleneffekte.

Einige Unternehmen, die zuvor angaben, von dem Angriff betroffen zu sein, haben kürzlich weitere Details bekannt gegeben. Im Juni gab Shell an, von einem MoveIt-Hack betroffen zu sein. Am 4. Juli teilte Shell mit, dass auf einige personenbezogene Daten der Mitarbeiter seiner BG-Gruppe zugegriffen worden sei. „Wir unternehmen Maßnahmen, um betroffene Personen zu informieren und ihnen zu helfen, mögliche Risiken zu bewältigen“, sagte ein Sprecher.

Viele Unternehmen wissen möglicherweise nicht, ob ihre Lieferanten von Angriffen auf MoveIt betroffen waren, sodass Cyber-Teams Zeit damit verbringen müssen, zu untersuchen, ob dies der Fall sein könnte, sagte Suzie Squier, Präsidentin des Retail and Hospitality Information Sharing and Analysis Center, einer gemeinnützigen Organisation, die Unternehmen unterstützt in der Branche beim Austausch von Informationen über Cyber-Bedrohungen.

„Es ist ein Trickle-Down-Effekt“, sagte sie.

Am 7. Juli wurde im Namen von Mitarbeitern und Patienten, deren Daten bei einem MoveIt-Angriff offengelegt wurden, eine Sammelklage gegen die Johns Hopkins University und ihr Gesundheitssystem eingereicht.

„Die Privatsphäre und Sicherheit der Mitglieder der Johns Hopkins-Community und unserer Patienten hat für uns höchste Priorität und wir sind aktiv dabei, mit betroffenen Personen zu kommunizieren“, sagte eine Sprecherin von Johns Hopkins.

Immer wieder tauchen Opferunternehmen auf, bemerkte Callow von Emsisoft. „Dieser Vorfall wird enorm kostspielig sein“, sagte er.

Schreiben Sie an Catherine Stupp unter [email protected]