Da werd‘ ich beclopt! Die MOVEit Sicherheitslücke

„Clop“ ist eine Ransomware, die seit mindestens dem Frühjahr 2019 aktiv ist. Es handelt sich um eine Form von Schadsoftware, die darauf abzielt, Unternehmensdaten zu verschlüsseln und dann Lösegeld von den betroffenen Unternehmen zu erpressen, um die Daten wieder freizugeben. Die Ransomware wurde erstmals am 8. Februar 2019 von Michael Gillespie, einem sogenannten „Ransomware-Jäger“, entdeckt.

Im Laufe der Zeit hat sich Clop weiterentwickelt und ist nicht nur eine klassische Ransomware, sondern auch eine Erpresser-Website geworden. Die Cyberkriminellen, die hinter Clop stehen und auch als Lace Tempest oder Clop-Bande bekannt sind, veröffentlichen auf dieser Website die Namen der erfolgreich angegriffenen Unternehmen sowie teilweise auch erbeutete Daten. Dadurch erhöhen sie den Druck auf die Opfer, das Lösegeld zu zahlen.

Viele Unternehmen sind betroffen

Besorgniserregend ist, dass deutsche Unternehmen offenbar besonders im Fokus dieser Erpressergruppe stehen. Die Angreifer zielen gezielt auf Unternehmen ab, deren Geschäftsbetrieb extrem gefährdet wäre, wenn ihre wichtigen oder sogar sämtlichen Unternehmensdaten verschlüsselt und somit unzugänglich wären. In solchen Fällen tendieren die betroffenen Unternehmen oft dazu, auf die Lösegeldforderung einzugehen, um einen Betriebsstillstand zu verhindern und kostbare Zeit zu sparen.

Clop ist eine ernsthafte Gefahr für Unternehmen, da ein erfolgreicher Angriff schwerwiegende Folgen haben kann. Neben dem finanziellen Schaden durch das geforderte Lösegeld besteht die Gefahr von Betriebsunterbrechungen, Reputationsverlusten und rechtlichen Konsequenzen. Es ist daher von entscheidender Bedeutung, dass Unternehmen proaktive Sicherheitsmaßnahmen ergreifen, um sich vor solchen Ransomware-Angriffen zu schützen. Dazu gehören regelmäßige Sicherheitsüberprüfungen, das Installieren von Sicherheits-Patches und Updates, die Schulung der Mitarbeiter zur Erkennung von Phishing-Angriffen sowie das Einrichten von umfassenden Sicherheitslösungen wie Firewalls und Virenschutzprogrammen. Je besser Unternehmen gegen solche Bedrohungen gewappnet sind, desto geringer ist das Risiko, Opfer von Ransomware wie Clop zu werden.

Deutscher Mittelstand im Fokus

Der Deutsche Mittelstand steht im Fokus der Clop-Ransomware-Gruppe aus verschiedenen Gründen. Einer davon ist die finanzielle Stärke vieler deutscher Unternehmen im internationalen Vergleich. Die Angreifer erhoffen sich von diesen Unternehmen besonders hohe Lösegeld-Einnahmen, da sie davon ausgehen, dass sie in der Lage sind, die geforderten Beträge zu bezahlen.

Ein weiterer wichtiger Grund ist die oft mangelnde Bewusstheit vieler kleiner und mittelständischer Unternehmen in Deutschland hinsichtlich ihrer Attraktivität für Cyberkriminelle. Viele dieser Unternehmen betrachten sich möglicherweise als weniger lukrative Ziele im Vergleich zu großen Konzernen und vernachlässigen daher die Cybersicherheit ihrer Netzwerke. Diese falsche Einschätzung macht sie jedoch anfälliger für Angriffe.

Die Clop-Ransomware-Gruppe hat eine erfolgreiche Strategie entwickelt, um den Deutschen Mittelstand anzugreifen, und dies hat sich bereits im Jahr 2020 gezeigt, als mindestens acht mittelständische Unternehmen betroffen waren. Es ist anzunehmen, dass die Dunkelziffer noch höher liegt, da viele Opfer aus Gründen des Reputationsverlusts versuchen, einen öffentlichen Bekanntwerden der Attacke zu vermeiden.

So laufen Attacken ab

Eine Clop-Ransomware-Attacke beginnt in der Regel mit einer Phishing-Mail, die von den Angreifern an Mitarbeiter des Unternehmens geschickt wird. In dieser E-Mail befindet sich ein schädlicher Anhang, der sorgfältig getarnt ist, um den Anschein einer legitimen Datei zu erwecken. Wenn ein Mitarbeiter den Anhang öffnet und aus Versehen einen falschen Klick ausführt, wird die Schadsoftware aktiviert, und das Unglück nimmt seinen Lauf.

Sobald die Clop-Ransomware aktiv ist, beginnt sie damit, ausgewählte Windows-Prozesse und -Dienste zu beenden, um sich Zugriff auf die erforderlichen Ressourcen zu verschaffen. Ebenso werden offene Dateien geschlossen, um sie leichter verschlüsseln zu können. Im nächsten Schritt fügt die Ransomware den verschlüsselten Dateien die Erweiterung „.Clop“ oder manchmal auch „.ciop“ hinzu, um anzuzeigen, dass die Dateien gesperrt wurden.

Zusätzlich hinterlässt die Clop-Ransomware in jedem betroffenen Ordner eine Lösegeldnotiz mit dem Namen „ClopReadMe.txt“. In dieser Nachricht informieren die Angreifer das Opfer darüber, dass das gesamte Netzwerk infiziert wurde und dass die einzige Möglichkeit, die verschlüsselten Dateien wiederherzustellen, darin besteht, ein Lösegeld zu zahlen. Hierbei wird in der Regel ein sogenannter RSA-Verschlüsselungsalgorithmus verwendet, der sehr stark und nahezu unmöglich zu knacken ist, es sei denn, man verfügt über den entsprechenden Entschlüsselungsschlüssel.

Die Entschlüsselungsschlüssel, die zur Wiederherstellung der verschlüsselten Daten benötigt werden, sind auf einem versteckten Server gespeichert, der außerhalb der Reichweite des Opfers liegt. Dadurch haben die Opfer keine direkte Möglichkeit, auf diese Schlüssel zuzugreifen, es sei denn, sie entsprechen der Lösegeldforderung und bezahlen das geforderte Geld.

Es ist wichtig zu betonen, dass das Zahlen des Lösegelds keine Garantie dafür bietet, dass die Angreifer tatsächlich den Entschlüsselungsschlüssel bereitstellen oder dass die Daten vollständig wiederhergestellt werden. Es ist daher äußerst riskant, auf die Erpressungsversuche der Angreifer einzugehen.

Um sich vor solchen Attacken zu schützen, ist es entscheidend, dass Unternehmen ihre Mitarbeiter regelmäßig über die Gefahren von Phishing-Mails und schädlichen Anhängen schulen. Eine umfassende Sicherheitsstrategie, die regelmäßige Backups, aktuelle Sicherheitssoftware, Netzwerksegmentierung und eine strenge Zugriffskontrolle beinhaltet, kann ebenfalls dazu beitragen, die Auswirkungen von Ransomware-Attacken wie Clop zu minimieren.

Einfallstor MOVEit-Dateiübertragungsprogramm

Die Datenerpressungsangriffe im Zusammenhang mit der Verwundbarkeit im MOVEit-Dateiübertragungsprogramm halten nun seit Wochen an und reißen immer noch nicht ab. Die cyberkriminelle Gruppe hat eine Schwachstelle ausgenutzt und erpresst Unternehmen, indem sie drohen, gestohlene Daten im Darkweb zu veröffentlichen, es sei denn, das Opferunternehmen bezahlt das Lösegeld.

Zusammenfassung für IT-Verantwortliche

  1. Die Angriffe zielen auf Datenerpressung ab, bei der die gestohlenen Daten als Hebel benutzt werden, um Lösegeld von den Opfern zu erpressen. Zusätzlich zu Ransomware-Angriffen, bei denen Dateien verschlüsselt werden, besteht hier die Bedrohung darin, dass die Daten öffentlich gemacht werden.
  2. Die cyberkriminelle Gruppe Clop nutzt unter anderem eine weit verbreitete kritische Sicherheitslücke in der Software MOVEit aus (CVE-2023-34362), die von Progress am 31. Mai gemeldet wurde.
  3. Obwohl nur wenige Opfer tatsächlich die Lösegeldforderungen bezahlen, könnte Clop dennoch erhebliche Beträge einnehmen. Schätzungsweise könnten die Angriffe bis zu 100 Millionen Dollar für die Gruppe einbringen.
  4. Unternehmen, die eine Cyber-Versicherung haben, könnten dazu neigen, bei reinen Datenerpressungsangriffen weniger bereit zu sein, die Forderungen der Angreifer zu bezahlen. Die Versicherung könnte die Entschlüsselung von verschlüsselten Dateien abdecken, aber keine Erpressungsgebühren für das Verhindern einer Datenveröffentlichung übernehmen.
  5. IT-Verantwortliche sollten sich über die aktuellen Schwachstellen in ihren Systemen und Softwarelösungen informieren, regelmäßige Sicherheitsüberprüfungen durchführen und sicherstellen, dass Sicherheits-Patches und Updates zeitnah installiert werden.

IT-Verantwortliche in Unternehmen sollten sich dieser Bedrohung bewusst sein und angemessene Sicherheitsmaßnahmen ergreifen, um die Sicherheit ihrer Daten und Systeme zu gewährleisten. Eine umfassende Sicherheitsstrategie, einschließlich regelmäßiger Backups, Netzwerksegmentierung und Schulungen der Mitarbeiter zur Erkennung von Phishing-Angriffen, ist unerlässlich, um die Auswirkungen solcher Angriffe zu minimieren.

Über den Autor

Alexander Jägers ist geschäftsführender Gesellschafter der vimopro GmbH und insbesondere in den Fachbereichen IT-Security, -Strategie und -Management tätig. Darüber hinaus ist er in IT-Sicherheitskonzepten für mittelständische Unternehmen involviert und arbeitet an Fachveröffentlichungen im Bereich digitaler Transformation.
Nach oben