CNN
—
Nach Angaben einer führenden US-amerikanischen Cybersicherheitsbehörde wurden mehrere US-Bundesbehörden von einem globalen Cyberangriff getroffen, der eine Schwachstelle in weit verbreiteter Software ausnutzt.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit „unterstützt mehrere Bundesbehörden, bei denen es zu Eingriffen in ihre MOVEit-Anwendungen gekommen ist“, sagte Eric Goldstein, der stellvertretende Direktor für Cybersicherheit der Behörde, in einer Erklärung am Donnerstag gegenüber CNN und bezog sich dabei auf die betroffene Software . „Wir arbeiten dringend daran, die Auswirkungen zu verstehen und eine rechtzeitige Behebung sicherzustellen.“
Es war nicht sofort klar, ob es sich bei den Hackern, die für den Verstoß gegen die Bundesbehörden verantwortlich waren, um eine russischsprachige Ransomware-Gruppe handelte, die zahlreiche andere Opfer der Hacking-Kampagne für sich beanspruchte.
Ein CISA-Sprecher äußerte sich nicht zu der Frage von CNN, wer den Hackerangriff auf Bundesbehörden durchgeführt habe und wie viele davon betroffen seien.
Die Behörden waren am Donnerstag viel schneller damit, zu leugnen, dass sie von dem Hackerangriff betroffen waren, als zu bestätigen, dass dies der Fall war. Die Transportation Security Administration und das Außenministerium sagten, sie seien keine Opfer des Hacks.
CISA-Direktorin Jen Easterly sagte am Donnerstag gegenüber MSNBC, sie sei „zuversichtlich“, dass die Hacks aufgrund der Verteidigungsverbesserungen der Regierung keine „erheblichen Auswirkungen“ auf die Bundesbehörden haben werden.
Aber die Nachricht trägt zu einer wachsenden Zahl von Opfern einer weitreichenden Hacking-Kampagne bei, die vor zwei Wochen begann und große US-Universitäten und Landesregierungen getroffen hat. Die Hackerattacke erhöht den Druck auf Bundesbeamte, die versprochen haben, der Geißel der Ransomware-Angriffe Einhalt zu gebieten, die Schulen, Krankenhäuser und Kommunalverwaltungen in den gesamten USA in Mitleidenschaft gezogen haben.
Die Johns Hopkins University in Baltimore und das renommierte Gesundheitssystem der Universität gaben diese Woche in einer Erklärung an, dass bei dem Hack möglicherweise „sensible persönliche und finanzielle Informationen“, einschließlich Aufzeichnungen über Gesundheitsabrechnungen, gestohlen wurden.
Unterdessen bestätigte das landesweite Universitätssystem von Georgia – zu dem neben der University of Georgia mit 40.000 Studenten auch über ein Dutzend weitere staatliche Colleges und Universitäten gehören –, dass es den „Umfang und die Schwere“ des Hacks untersucht.
Eine russischsprachige Hackergruppe namens CLOP beanspruchte letzte Woche die Verantwortung für einige der Hacks, von denen unter anderem auch Mitarbeiter der BBC, British Airways, des Ölgiganten Shell und der Landesregierungen in Minnesota und Illinois betroffen waren.
Die russischen Hacker waren die ersten, die die Sicherheitslücke ausnutzten, doch Experten gehen davon aus, dass andere Gruppen nun Zugriff auf den Softwarecode haben könnten, der für die Durchführung von Angriffen erforderlich ist.
Die Ransomware-Gruppe hatte den Opfern bis Mittwoch Zeit gegeben, sich wegen der Zahlung eines Lösegelds mit ihnen in Verbindung zu setzen. Anschließend begann sie, auf ihrer Erpressungsseite im Dark Web weitere mutmaßliche Opfer des Hacks aufzulisten. Mit Stand Donnerstagmorgen waren auf der dunklen Website keine US-Bundesbehörden aufgeführt. Stattdessen schrieben die Hacker in Großbuchstaben: „Wenn Sie eine Regierung, Stadt oder Polizei sind, machen Sie sich keine Sorgen, wir haben alle Ihre Daten gelöscht.“ Sie müssen uns nicht kontaktieren. Wir haben kein Interesse daran, solche Informationen preiszugeben.“
Die Ransomware-Gruppe CLOP ist eine von zahlreichen Banden in Osteuropa und Russland, die sich fast ausschließlich darauf konzentrieren, ihren Opfern möglichst viel Geld abzuringen.
„Die Aktivität, die wir derzeit sehen, das Hinzufügen von Firmennamen zu ihren Leak-Sites, ist eine Taktik, um sowohl gelistete als auch nicht gelistete Opfer zur Zahlung zu verleiten“, sagte Rafe Pilling, Direktor für Bedrohungsforschung bei Secureworks, einer Tochtergesellschaft von Dell, gegenüber CNN .
Die neue Hacking-Kampagne zeigt, welche weitreichenden Auswirkungen ein einzelner Softwarefehler haben kann, wenn er von erfahrenen Kriminellen ausgenutzt wird.
Die Hacker – eine bekannte Gruppe, deren bevorzugte Malware im Jahr 2019 auftauchte – begannen Ende Mai damit, eine neue Schwachstelle in einer weit verbreiteten Dateiübertragungssoftware namens MOVEit auszunutzen, um offenbar so viele gefährdete Organisationen wie möglich ins Visier zu nehmen. Der opportunistische Charakter des Hacks machte eine breite Palette von Organisationen anfällig für Erpressung.
Progress, das US-Unternehmen, dem die MOVEit-Software gehört, hat die Opfer ebenfalls aufgefordert, ihre Softwarepakete zu aktualisieren, und Sicherheitshinweise herausgegeben.