Ransomware-Gruppe Clop
GoAnywhere-Kunden werden erpresst
Foto: SvetaZi - shutterstock.com
Im Februar veröffentlichte der Investigativjournalist Brian Krebs eine Warnung der Entwickler von GoAnywhere, eine Lösung zur sicheren Datenübertragung von Fortra. Darin werden die Kunden über eine Zero-Day-Schwachstelle in der Software informiert, die bereits aktiv ausgenutzt wird. Laut BleepingComputer wurden keine Einzelheiten darüber bekannt gegeben, wie die Schwachstelle ausgenutzt wurde. Doch kurz danach wurde ein Proof of Concept Exploit sowie ein Patch veröffentlicht.
Am selben Tag hatte sich die Ransomware-Gruppe Clop bei BleepingComputer gemeldet und sich zu den Angriffen bekannt. Die Erpressergruppe sagt, sie hätte die Schwachstelle zehn Tage lang genutzt, um Daten von insgesamt 130 Unternehmen zu stehlen. Auf eine Nachfrage des Technik-Portals habe Fortra nicht reagiert. Mittlerweile haben sich zwei Unternehmen zu Wort gemeldet, Community Health Systems und Hatch Bank und bekannt gegeben, dass von ihnen Daten durch einen Angriff auf GoAnywhere gestohlen wurden.
Da für die Ausnutzung der Schwachstelle der Zugriff auf die Verwaltungskonsole von GoAnywhere nötig ist, bittet Fortra die Kunden in einer Mitteilung darum, sich an das Kundensupport-Team zu wenden, sollten deren Verwaltungskonsolen an das öffentliche Internet angebunden sein. Gemeinsam mit dem Fortra-Team würden Zugriffskontrollen eingerichtet. Zudem gab der Hersteller den Nutzern eine Konfiguartionsanleitung an die Hand, mit der sie das Risiko eines Angriffs verringern können.
Jetzt kostenlos für den CSO-Newsletter anmelden
Rubrik ist von GoAnywhere-Exploit betroffen
Auf der Data-Leak-Seite von Clop steht BleepingComputer zufolge, dass die Veröffentlichung der Daten "in Kürze" erfolgen wird. Auf der Seite seien zudem Screenshots der angeblich gestohlenen Daten zu finden. Zudem hätten die Opfer der Ransomware-Gruppe bereits Lösegeldforderungen erhalten. Wie viel die Kriminellen für die Freigabe der Daten fordern, ist nicht bekannt.
Dem News-Portal Security Affairs zufolge, tauchte auch der Name des Data-Security-Anbieter Rubrik auf der Leak-Seite auf. Kurz darauf gab das Unternehmen die Datenschutzverletzung bekannt, die auf die Ausnutzung der GoAnywhere-Lücke zurückzuführen sei. In einem Statement erklärt Rubrik, dass der Vorfall, bei dem Hacker Firmendaten gestohlen haben, schnell eingedämmt wurde und lediglich eine nicht produktive IT-Testumgebung betraf. "Wir haben in einer unserer nicht produktiven IT-Testumgebungen als Folge der GoAnywhere-Schwachstelle einen nicht autorisierten Zugriff auf eine begrenzte Menge an Informationen festgestellt. Wichtig ist, dass nach unserer derzeitigen Untersuchung, die mit der Unterstützung von Forensik-Experten durchgeführt wird, der unbefugte Zugriff nicht auf Daten erfolgte, die wir im Namen unserer Kunden über Rubrik-Produkte sichern", heißt es in der Erklärung.
Nach Angaben des Hersteller handelt es sich bei den gestohlenen Daten um interne Verkaufsinformationen, Informationen über Kunden und Partner sowie einige Daten über Bestellungen bei Händlern. Sensible Kundendaten wie Sozialversicherungsnummern, Finanzkontonummern oder Zahlungskartennummern wurden nicht offengelegt.