Hochrangige Regierungsbeamte bemühen sich darum, die Auswirkungen eines vermutlich globalen Cyberangriffs auf US-Bundesbehörden und Verbündete, darunter NATO-Mitgliedsländer, zu begrenzen.
Die Cybersecurity and Infrastructure Security Agency (CISA) bestätigte am Donnerstag in einer Erklärung, dass sie mehrere Bundesbehörden unterstützt, „bei denen es zu Einbrüchen kam, die sie betrafen.“ [file transfer] Anwendungen.“
„Wir arbeiten dringend daran, die Auswirkungen zu verstehen und eine rechtzeitige Behebung sicherzustellen“, heißt es in der Erklärung weiter.
Ein Cybersicherheitsexperte bezeichnete den Verstoß als eines der größten Diebstahl- und Erpressungsereignisse der jüngeren Geschichte. Zu den Opfern gehören Johns Hopkins Universitätder University of Georgia, der BBC und British Airways.
Cybersicherheitsexperten sagen, dass die Hackerbande seit mindestens 2014 aktiv ist und vermutlich mit stillschweigender Zustimmung der Moskauer Geheimdienste von Russland aus operiert. CISA-Direktorin Jen Easterly identifizierte die Hacker als CLOP Ransomware.
„Sie nehmen im Grunde Daten und versuchen, sie zu erpressen“, sagte Easterly.
Brett Callow, Cyber-Bedrohungsanalyst bei Emsisoft, sagte gegenüber CBS News, dass es bisher 47 bestätigte Opfer gebe, „plus eine Reihe noch nicht identifizierter US-Regierungsbehörden“. Er fügte hinzu, dass CLOP behauptete, „Hunderte von Organisationen seien betroffen.“
Am späten Donnerstagnachmittag weigerte sich ein hochrangiger CISA-Beamter, die betroffenen Regierungsbehörden zu nennen, wies aber darauf hin, dass das Energieministerium eine Erklärung herausgegeben habe, aus der hervorgehe, dass es einen Vorfall an CISA gemeldet habe. Der Beamte sagte auch, dass es derzeit keine Hinweise darauf gebe, dass einer der Militärzweige oder der Geheimdienste betroffen sei.
„Das ist keine Kampagne wie diese Sonnenwinde „Das stellt ein systemisches Risiko für unsere nationale Sicherheit oder die Netzwerke unseres Landes dar“, sagte der Beamte und bezog sich dabei auf a äußerst störender Cyberangriff im Jahr 2020 war das auf russische Militärhacker zurückgeführt.
Darüber hinaus habe bisher keine Bundesbehörde Erpressungsaufforderungen erhalten und es seien keine Bundesdaten durchgesickert, sagte der Beamte.
Laut CISA hatten viele Organisationen die Schwachstelle bereits gepatcht, bevor die Cyber-Akteure eindringen konnten.
CLOP funktioniert, indem es sensible Daten beschlagnahmt und sie als Lösegeld einbehält und droht: „Nach sieben Tagen werden Ihre Daten veröffentlicht.“ Dabei wird eine Schwachstelle in einem Softwareprogramm namens MoveIt Transfer ausgenutzt, das häufig zum Übertragen von Daten verwendet wird.
In einer Anmerkung eines CISA-Analysten wurde CLOP als eine Ransomware-Variante beschrieben, die eine Ransomware-Strategie mit doppelter Erpressung nutzt. Die Cyberkriminelle stiehlt die Informationen, bevor sie sie verschlüsselt, und verlangt dann ein Lösegeld, um zu verhindern, dass diese Informationen auf der Ransomware-Website von CLOP weitergegeben werden.
An dieser Stelle sagt Easterly, die Regierung konzentriere sich „speziell auf die Bundesbehörden, die betroffen sein könnten“ und arbeite „Hand in Hand mit ihnen, um das Risiko zu mindern“.
„Wir verstehen jedoch, dass es auf der ganzen Welt Unternehmen gibt“, fügte sie hinzu.
Der Forscher Bret Callow sagt, zu den Opfern zählen auch Banken und Kreditgenossenschaften.
Das FBI und die CISA warnten letzte Woche, dass eine Ransomware-Bande Ende Mai damit begonnen habe, eine Schwachstelle in der Filesharing-Software MoveIt Transfer auszunutzen.
Das FBI lehnte eine Stellungnahme ab, verwies CBS News jedoch auf den Sicherheitshinweis zu MoveIt, in dem auch Partner aus dem Privatsektor aufgefordert wurden, empfohlene Maßnahmen zu ergreifen, um sich vor der Ransomware zu schützen, und verdächtige Cyberaktivitäten den örtlichen FBI-Büros und der CISA zu melden.
Nicole Sganga und Robert Legare haben zu diesem Bericht beigetragen.