Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
BlackBerry schützt Kunden vor Clop-Ransomware
Drei der „Big Four“-Wirtschaftsprüfungsgesellschaften haben nun öffentlich bestätigt, dass sie von den Angriffen auf die Dateiübertragungsplattform MOVEit betroffen waren, die von der Bedrohungsgruppe Clop inszeniert wurden und vermutlich mit Russland in Verbindung stehen. Die Big Four Wirtschaftsprüfungsgesellschaften sind für die Prüfung von über 80 % aller US-Unternehmen verantwortlich.
Der Gesamtumfang der Clop-Angriffe wächst, zusammen mit der Zahl der öffentlich bekannten Opfer, und jüngste Berichte deuten darauf hin, dass die Clop-Ransomware-Bande wahrscheinlich mehr als 75 Millionen US-Dollar an Lösegeldzahlungen verdienen wird.
BlackBerry trägt dazu bei, seine Kunden vor den zahlreichen Angriffstools zu schützen, die Clop verwendet.
BlackBerry hat bestätigt, dass seine auf Cylance® AI basierende Cybersicherheitssoftware vor diesen Schwachstellen schützt. Cylance leistete Pionierarbeit beim Einsatz von KI zur Verhinderung von Cybersicherheitsangriffen und war das erste Unternehmen, das KI in seine Präventions-Engine einbettete. Durch den Einsatz dieser kampferprobten KI erkennt CylanceENDPOINT™ Nutzlasten, die bekanntermaßen mit diesen Angriffen in Zusammenhang stehen. Speziell:
„Es ist wichtig zu beachten, dass es in der Cybersicherheit kein Allheilmittel gibt“, sagt Ismael Valenzuela, Vice President of Threat Intelligence bei BlackBerry. „Es hat noch nie eines gegeben und wird es auch nie geben. Aber Organisationen, die einen ganzheitlichen und bedrohungsorientierten Ansatz zur Cybersicherheit verfolgen, sind immer besser auf die Abwehr dieser Angriffe vorbereitet.“
Der jüngste Ransomware-Angriff Clop gegen Benutzer der MOVEit-Dateiübertragungsplattform gefährdet Netzwerke auf der ganzen Welt. Bei dem Cyberangriff, der am 1. Juni von US-Regierung und Sicherheitsforschern gemeldet wurde, nutzte die Clop-Bande eine kritische Zero-Day-Schwachstelle (jetzt gepatcht) in der digitalen Infrastruktur von MOVEit aus, die es den Bedrohungsakteuren ermöglichte, in mehrere Unternehmensnetzwerke einzudringen und Daten zu stehlen.
In einem Beitrag auf Clops Telegram-Kanal forderten die Ransomware-Betreiber die Opfer auf, ihnen bis zum 14. Juni zu zahlen oder ihre sensibelsten Daten der Welt zugänglich zu machen.
Zu den namentlich genannten Opfern der MOVEit-Angriffe gehörten bisher US-Regierungsbehörden, Fluggesellschaften und Medienunternehmen, ein Ölriese, Gesundheitsdienste, internationale Beratungsunternehmen und viele mehr. Die Betreiber und Tochtergesellschaften von Clop haben fast jede Branche erreicht.
Es wird angenommen, dass das Ransomware-Syndikat Clop (auch als CLOP oder Cl0p bezeichnet) seinen Ursprung in Russland hat oder seinen Sitz in Russland hat – wo es seit langem stillschweigend Cyberkriminelle unterstützt oder ihnen einen sicheren Hafen bietet, die staatlich geduldete und staatlich ignorierte Angriffe durchführen. Die Gruppe zielt auf Windows®-Betriebssysteme ab und führt ihre Operationen mithilfe eines Ransomware-as-Service (RaaS)-Modells aus.
Forscher haben erstmals 2019 in freier Wildbahn entdeckt, dass Clop-Ransomware eine beliebte letzte Nutzlast für Angriffe von FIN11 ist. FIN11 ist eine finanziell motivierte russische Bedrohungsgruppe, die für einen Teil der Aktivitäten verantwortlich ist, die TA505 zugeschrieben werden.
Die Ransomware-Betreiber sind für ihre mehrstufigen Erpressungstechniken und ihr umfangreiches Toolset bekannt. Die Clop-Ransomware ist beispielsweise mit Anti-Analyse- und Anti-Virtual-Machine-(VM)-Funktionen ausgestattet. Eine weitere beunruhigende Funktion ist die Möglichkeit, Anti-Malware-Anwendungen wie Windows Defender und Microsoft® Security Essentials zu deaktivieren, bevor die Verschlüsselungsroutine gestartet wird.
Zum Zeitpunkt dieses Beitrags gab es mindestens 545 Opfer des MOVEit-Schwachstellen-Exploits, die entweder direkt oder indirekt von Clop betroffen waren. Diese Zahl basiert auf von Opfern öffentlich veröffentlichten Meldungen über Datenschutzverletzungen sowie auf Clops eigener Datenleck-Website.
Nun hat das US-Justizministerium eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen ausgesetzt, die zum Aufenthaltsort und zur Verurteilung der Clop-Ransomware-Bande führen.
Die Entscheidung der Bedrohungsakteure, Dateiübertragungsplattformen ins Visier zu nehmen, war alles andere als zufällig. Es handelt sich vielmehr um eine kalkulierte Auswahl der Ziele, da diese Plattformen am häufigsten für die sichere Übertragung sensibler Daten wie Gehaltsabrechnungen oder rechtliche Informationen genutzt werden.
Es ist bekannt, dass Clop auf Organisationen in den Vereinigten Staaten, Kanada, Lateinamerika, im asiatisch-pazifischen Raum und in Europa abzielt, insbesondere auf solche, die einen Jahresumsatz von 5 Millionen US-Dollar oder mehr erwirtschaften.
Lesen Sie den Clop Ransomware Threat Report für eine detaillierte technische Analyse.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat allen MOVEit-Kunden dringend empfohlen, ihre Netzwerke auf Anzeichen dafür zu überprüfen, dass sich böswillige Akteure in den letzten 30 Tagen möglicherweise unbefugten Zugriff auf ihre Netzwerke verschafft haben.
CISA empfiehlt Benutzern außerdem, den MOVEit Transfer-Artikel von Progress Software zu lesen und gegebenenfalls Produktaktualisierungen zur Verbesserung der Sicherheit anzuwenden. Das Service Pack behebt die drei neuen Schwachstellen (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) in MOVEit Transfer, die ein Cyber-Bedrohungsakteur ausnutzen könnte, um vertrauliche Informationen zu erhalten.
Weitere Tipps zur Abwehr von Clop-Angriffen finden Sie in unserem MOVEit Mitigations-Blog.
Wenn Sie oder Ihre Organisation möglicherweise durch einen der in diesem Blog erwähnten Schadcodes oder Aktivitäten gefährdet wurden, wenden Sie sich bitte an das BlackBerry Incident Response Team. Das Team kann mit Unternehmen jeder Größe und Branche zusammenarbeiten, um den Sicherheitsstatus Ihrer Endpunkte zu bewerten und zu verbessern und die Sicherheit, Integrität und Belastbarkeit Ihrer Netzwerkinfrastruktur proaktiv aufrechtzuerhalten.
Für dringende Hilfe senden Sie uns bitte eine E-Mail an [email protected] oder verwenden Sie das Spendenformular.
Abonnieren Sie den BlackBerry Blog, um ähnliche Artikel und Neuigkeiten direkt in Ihrem Posteingang zu erhalten.
Verwandte Lektüre
Bruce Sussman ist Senior Managing Editor bei BlackBerry.
Hauptherausgeberin von Threat Research, BlackBerryNatasha Rohner ist Hauptherausgeberin von Threat Research des BlackBerry Blog, der Cybersicherheitspublikation von BlackBerry.
Als international veröffentlichte Autorin, Autorin und Herausgeberin verfügt Natasha über 25 Jahre Erfahrung im traditionellen und digitalen Verlagswesen. Als begeisterter Science-Fiction-Fan hat sie acht Romane für große Medienunternehmen wie Rebellion und New Line Cinema veröffentlicht, darunter die offiziellen Buchadaptionen von Hollywood-Filmreihen wie Blade, Final Destination und Nightmare on Elm Street. Ihre ursprüngliche Horror-Trilogie „Dante’s Girl“ wurde von Solaris veröffentlicht, einer Abteilung des Gaming-Riesen Games Workshop.
Natashas Bücher wurden in neun Sprachen übersetzt, darunter Französisch, Polnisch und Italienisch, und sie trat als Gastrednerin in Autorenforen auf der Comic-Con in Kalifornien auf. Sie hat einen BA Honours-Abschluss in Filmproduktion von der University of Wales, den sie buchstäblich nie genutzt hat.