Zeitenwende für Ransomware: File Transfer-Lösungen im Fadenkreuz von Cl0p

Complion Expert:innen für IT-Sicherheit betreuen seit 2018 das Cyber Security Competence Center (CSCC) von Voice e.V. und warnen dort die Mitgliedsunternehmen vor Bedrohungen durch Hackergruppen und geben Handlungsempfehlungen zur Mitigation von Sicherheitslücken in Hard- und Software. Im zweiten Quartal 2023 setzte sich ein Hacking-Trend weiter fort: der Angriff auf Unternehmen via Software-Lösungen zum Datentransfer. Während es im ersten Quartal noch die Fortra GoAnywhere MFT-Lösung traf, war es nun MOVEit Transfer von Ipswitch. Die Kampagne sollte mehr als 150 Organisationen treffen. Wer hinter dieser Angriffswelle steckte und wie die Attacken von Statten gingen, erfahren Sie im folgenden Blog-Beitrag.

Im Bericht des CSCC für das erste Quartal benannten unsere IT-Sicherheitsexpert:innen bereits einen Trend: Angriffe auf File Transfer-Lösungen werden auch in Zukunft ein formidables Einfallstor für Ransomware-Gruppen sein. Der Angriff auf Unternehmen via einer Sicherheitslücke in Fortra’s GoAnywhere MFT durch die Cl0p Ransomware im Februar zeigte sich für die Gruppe äußerst effizient und lukrativ. Über 130 (laut den Cl0p Gang über 1.000) Organisationen wurden kompromittiert – alle durch die Ausnutzung einer einzigen Schwachstelle. Die Schwachstelle war eine sogenannte Zero-Day-Lücke, was bedeutet, dass der Schadakteur die Lücke vor dem Hersteller kannte und sie, in diesem Fall, sogar bereits ausnutzen konnte, bevor ein Patch veröffentlicht wurde. Nach der Ausnutzung konnten Angreifer auf der Administratorkonsole Schadcode ausführen. Am Ende des Angriffs stand die Datenexfiltration. Eine Angriffsmethode, die so effizient war, dass Cl0p diese für weitere Attacken auf weitere File Transfer Software weiterentwickeln würde…

Cl0p fand das nächste Einfallstor in einer Lösung des Entwicklers Ipswitch. Die Schwachstelle wird mittlerweile als CVE-2023-34362 geführt. Sie erlaubt einem unauthentifizierten Angreifenden das Einsehen von vertraulichen Informationen sowie die Ausführung beliebiger SQL-Statements, was die Veränderung von Löschung von Elementen enthält. Durch die Ausnutzung der Lücke können Angreifende sämtliche Dateien in Dateien im Speicher auflisten und auslesen, Credentials stehlen und mit der LEMURLOOT-Webshell auch Geheimnisse für konfigurierte Azure Blob Storage Container auslesen. Der Entwickler Ipswitch schien selbst noch keinen Wind von der Existenz der Schwachstelle zu haben, was es Cl0p umso einfacher machte, erste Unternehmen und Behörden zu kompromittieren.

Am 27.05.2023, langes Feiertagswochenende in den USA, schlägt Cl0p das erste Mal zu. Die Ransomware-Gruppe hatte zuvor bereits fast drei Monate lang nach potenziellen Opfern gescannt, sodass eine lange Liste mit Zielen den Hackern bereits vorlag. Über 100 Organisationen wurden in den ersten Tagen kompromittiert, Daten wurden gestohlen und mit der anschließenden Veröffentlichung wurde gedroht. In Deutschland waren zunächst bestätigt die AOK-Ortskassen von Baden-Württemberg, Bayern, Bremen, Hessen, Niedersachen, Rheinland-Pfalz/Saarland, Sachsen-Anhalt, Sachsen und Thüringen sowie der AOK Bundesverband betroffen. Auf den britischen Inseln traf es die BBC, Aer Lingus und British Airways. In den nächsten Wochen kamen noch Shell Oil, das US Department of Energy, PwC, Zurich Insurance Group und Verivox dazu.

Die Kampagne war von langer Hand geplant. Auch die vorhergegangene Angriffswelle gegen GoAnywhere MFT war ein Teil der Strategie der Cl0p-Gruppe. Berichten zufolge experimentierte sie bereits seit Sommer 2021 mit Wegen zur Kompromittierung von File Transfer-Diensten. Dies zeigt erneut, wie langfristig organisierte Kriminalität im Internet agieren kann. R&D im Cybercrime-Bereich erstreckt sich über Jahre, um dann bei „Product Launch“ einen möglichst hohen ROI zu generieren.

Die Gegenspieler sind geduldig und haben durch vorhergehende sowie konstant stattfindende Operationen die nötigen Ressourcen, um eine langfristige Bedrohung darzustellen. Im Ernstfall gilt es, einen gut eingeübten IT Security Incident Response Plan auszuführen. Zur Vermeidung von Ernstfällen helfen konsequentes Patch Management sowie Awareness Trainings im Team und der Bezug von Threat Intelligence, wie das Voice e.V. CSCC, zu Frühwarnung.

 Complion bietet vielseitige Services im Bereich IT-Security an. Einen Einblick in unser Portfolio finden Sie hier: https://complion.de/was-machen-wir/cybersecurity

Verfasser: Tobias Philipsen