Wir wissen noch nicht viel über die kürzlich erfolgten zahlreichen Angriffe der Ransomware-Gruppe Clop auf Bundes- und Kommunalbehörden in den USA. Doch was wir wissen ist, dass Ungewissheit Cyberkriminellen immer einen Vorteil verschafft. Eine Schwachstelle im Dateiübertragungsservice MOVEit, der von vielen Regierungsbehörden genutzt wird, ermöglichte es der Gruppe, in Einrichtungen wie das Energieministerium und Universitätssysteme in mehreren Bundesstaaten einzudringen. Eine der größten Herausforderungen bei der Reaktion auf eine Sicherheitsverletzung besteht darin, zu verstehen, was ein Angreifer bereits erreicht hat, ob er noch aktiv ist und wohin er sich als nächstes wendet.
Es wird vermutet, dass es sich um das Werk einer mit Russland verbundenen Ransomware-Gruppe CL0P handelt. CISA-Direktor Jen Easterly beschreibt die Angriffe eher als weitgehend opportunistisch und nicht als zielgerichtet.
Mitte der letzten Woche behauptete Clop in einer Nachricht, dass die exfiltrierten Daten der Opfer dieses Einbruchs gelöscht worden seien. Diese Behauptungen sollten jedoch nicht für bare Münze genommen werden. Obwohl die Auswirkungen globaler Ransomware-Kampagnen - insbesondere von mit Russland verbundenen Gruppen - über die Jahre hinweg schwankten, hat ihre Bedeutung in letzter Zeit zugenommen.
Mehrere Bundesbehörden, darunter auch Abteilungen des US-Energieministeriums (DOE), sind Opfer von Cyberangriffen geworden, die auf eine Zero-Day-Schwachstelle in dem weit verbreiteten Dateiübertragungsdienst MOVEit zurückzuführen sind. Ersten Berichten zufolge waren die Oak Ridge Associated Universities und die Waste Isolation Pilot Plant des DOE von dem Angriff betroffen, was zu erheblichen Datenverlusten führte. Es ist wichtig anzumerken, dass diese Angriffe zwar nicht in die internen Systeme des DOE eingedrungen sind, aber dennoch Daten der Behörde an diesen Standorten gefährdet haben.
Aufgrund der Schwere und der potenziellen Auswirkungen dieses Eindringens hat das DOE die Situation als „ernsten Vorfall“ eingestuft. Persönliche Daten von möglicherweise zehntausenden von Personen, darunter DOE-Mitarbeiter und Auftragnehmer, sind durch die Sicherheitsverletzung gefährdet. Darüber hinaus informierte das Ministerium die Cybersecurity and Infrastructure Security Agency (CISA) über den Vorfall.
In Anbetracht der weiten Verbreitung der MOVEit-Transfersoftware ist davon auszugehen, dass viele andere Behörden von ähnlichen Sicherheitsverletzungen betroffen sein könnten. Der stellvertretende Direktor der CISA für Cybersicherheit, Eric Goldstein, bestätigte dies. Daher handelt die CISA zügig, um das Ausmaß der Sicherheitsverletzungen vollständig zu erfassen und rasche Abhilfemaßnahmen zu gewährleisten. Progress Software, Inhaber von MOVEit, unternimmt derzeit aktive Schritte zur Behebung der Sicherheitslücke, um den Angriff einzudämmen.
Schlussfolgerungen und Empfehlungen
Um dynamische Situationen wie diese schnell erkennen und darauf reagieren zu können, müssen Unternehmen ihre Angriffsfläche und ihr Cyberrisiko genau kennen. Der Versuch, dies mit zahlreichen einzelnen Sicherheitselementen zu bewerkstelligen, erhöht die Wahrscheinlichkeit von Kenntnislücken und Verzögerungen bei der Bewältigung kritischer Probleme. Die Nachfrage auf dem Markt hat sich dahingehend verschoben, dass Unternehmen zunehmend Lösungen auf einer einzigen Plattform einsetzen, die erweiterte Erkennung und Reaktion, Angriffsflächen-Risikomanagement, Integration von Partner-Services und KI-Technologie kombinieren, um Daten in allen Umgebungen nahtlos zu sichern.
„Zur Cyberrealität gehört es heutzutage, dass Menschen mit Geld und Knowhow nach neuen Lücken in Software suchen, so genannte Zero Days, um diese für Angriffe auszunutzen.“, erläutert Richard Werner, Business Consultant bei Trend Micro. „Damit sind Unternehmen und Behörden aufgefordert vor allem ihre Reaktionsgeschwindigkeit zu optimieren. Dazu gehört es, stets in der Lage zu sein, die eigene, sich ständig verändernde Angriffsoberfläche auf ihre Risiken hin zu bewerten und auch kurzfristig Gegenmaßnahmen zu ergreifen. Kurz, es geht darum, auch in einer Ausnahmesituation den Überblick zu behalten und die richtigen Schlussfolgerungen zu ziehen.“
Um dies zu leisten, können Trend Micro-Kunden mit Vision One Angriffsflächen-Risikomanagement durchführen und XDR-Funktionen der Gesamtplattform einsetzen, die von Trend Micro Apex One mit den neuesten Informationen zu diesen Schwachstellen auf dem Laufenden gehalten werden. Durch die Nutzung der Risk Insights App-Familie können Anwender nach betroffenen Assets scannen und diese identifizieren und sich über die neuesten Maßnahmen zur Risikominderung informieren, einschließlich der Verwendung von Trend-Produkten zur Erkennung und Abwehr von Angriffen.
Ein Advisory von Trend Micro finden Interessierte unter https://success.trendmicro.com/solution/000293538