Die persönlichen Daten Zehntausender Mitarbeiter einiger der größten britischen Unternehmen wurden von einer russischsprachigen kriminellen Bande im Zuge eines groß angelegten Hacks kompromittiert, der sich voraussichtlich auf die USA ausbreiten und weitere Opfer in die Falle locken wird.
British Airways, Boots und die BBC gehörten zu den Gruppen, die am Montag ihre Mitarbeiter warnten, dass sie von dem Sicherheitsverstoß betroffen seien, der die Software von Zellis betraf, dem britischen Lohn- und Gehaltsabrechnungsanbieter, der fast die Hälfte der FTSE-100-Unternehmen bedient.
Die BBC, der nationale Rundfunksender mit rund 20.000 Mitarbeitern, und Boots, der Apothekeneinzelhändler mit mehr als 50.000 Mitarbeitern, machten die Mitarbeiter auf den möglichen Verstoß aufmerksam, der sich auf ihre Namen, Geburtsdaten und Sozialversicherungsnummern auswirkte. British Airways, die im Jahr 2020 wegen der Weitergabe von Kundendaten mit einer Geldstrafe von 20 Millionen Pfund belegt wurde, sagte, sie werde den zuständigen Mitarbeitern „Unterstützung und Beratung bieten“.
Der Hack nutzte eine unbekannte Schwachstelle in einer vermeintlich sicheren Dateiübertragungssoftware aus und verdeutlichte die wachsende Anfälligkeit vieler Unternehmen für raffinierte Cyberangriffe, die auf Schwachstellen entlang ihrer Software-Lieferkette abzielen.
Sicherheitsforscher sagten, dass von den Hackern erwartet wird, dass sie die Daten nutzen, um sogenannte „Hack-and-Leak“-Angriffe zu starten, und damit drohen, vertrauliche Informationen preiszugeben, sofern die Unternehmen nicht erhebliche Summen zahlen.
Mindestens ein Fünftel der britischen Firmen wurden im vergangenen Jahr von einem externen Angreifer, einem Sicherheitsunternehmen, gestohlen Sophos genannt. Britische Unternehmen können wegen Missbrauchs von Daten mit einer Geldstrafe von bis zu vier Prozent ihres Jahresumsatzes belegt werden.
Frühere Forderungen der mutmaßlichen russischen Bande, die von Cyber-Sicherheitsexperten „Clop“ genannt wird, lagen regelmäßig bei über 1 Mio. US-Dollar und bis zu 35 Mio. US-Dollar. Eine Zellis nahestehende Person sagte, keine Gruppe habe die Verantwortung übernommen und das Motiv für den Verstoß sei unklar.
Die Zielsoftware MOVEit des in Massachusetts ansässigen Technologiekonzerns Progress wurde von Zellis in einigen seiner Systeme verwendet. Betroffen seien acht Kunden des britischen Lohn- und Gehaltsabrechnungskonzerns gewesen, sagte eine mit dem Vorfall vertraute Person.
Aber die Software ist in den USA beliebter, wo die behördliche Offenlegung langsamer erfolgt, was es wahrscheinlich macht, dass die Liste der Opfer im Laufe der Woche wachsen wird, sagten Forscher von Secureworks, einer Cyber-Sicherheitsgruppe. Andere Forscher sagten, dass voraussichtlich auch Unternehmen in Kanada und Indien betroffen sein werden.
„Wenn Zellis oder die anderen nicht bereit sind zu zahlen, werden diese Daten wahrscheinlich zum Verkauf angeboten und in irgendeiner Form monetarisiert“, sagte Martin Riley, Direktor für Managed Security Services bei Bridewell in Reading , der den Angriff am Wochenende beobachtet hat.
Es ist bekannt, dass die Hackergruppe Clop nach Schwachstellen in sicherer Dateiübertragungssoftware sucht, da Unternehmen oft gesetzlich verpflichtet sind, einige ihrer wertvollsten Daten mit solchen Anbietern zu verwalten.
Das macht die Hacks weitaus lukrativer, als dieselbe Gruppe 2021 eine ähnliche Software namens Accellion und Anfang des Jahres GoAnywhere angriff, sagte Rafe Pilling, leitender Sicherheitsforscher bei Secureworks. Das mache alles andere als sicher, dass die Hacker finanziell und nicht politisch motiviert seien, sagte er.
„Die Gruppe spricht Russisch, aber das ist nicht der russische Staat, das wird nicht von Russland geleitet und existiert schon vor der ukrainischen Invasion“, sagte er. „Das ist nicht Russland, das den Westen angreift.“
Da Unternehmen begonnen haben, sich auf Backups zu verlassen, um zu verhindern, dass ihre Daten bei Ransomware-Vorfällen gesperrt werden, sind Banden in den letzten Monaten zu Hack-and-Leak-Angriffen übergegangen.
„Wir identifizieren bereits aktive Einbrüche bei mehreren Kunden und erwarten kurzfristig noch viele weitere“, sagte John Hultquist, Chefanalyst bei Mandiant Intelligence. „Jeder muss schnell sein, um zu patchen. . . und in Fällen, in denen sie den Verdacht einer Ausbeutung haben, bereiten Sie sich auf eine mögliche Veröffentlichung ihrer Daten vor.“
Solche Sicherheitslücken werden oft von kriminellen Banden, meist mit Sitz in Russland, geteilt, was bedeutet, dass sie in den letzten Wochen von verschiedenen Hackergruppen ausgenutzt worden sein könnten.
Hersteller von MOVEit informierte Kunden Am 31. Mai gab das Unternehmen bekannt, dass seine Software eine unbekannte Schwachstelle aufwies, die es Hackern ermöglichte, große Datenmengen zu stehlen. Das Unternehmen lehnte es ab, Fragen dazu zu beantworten, wie viele seiner Kunden weltweit betroffen waren und ob es den Täter identifiziert hatte.
„Wir haben mit den Strafverfolgungsbehörden des Bundes und anderen Behörden zusammengearbeitet. . . mit branchenführenden Cyber-Sicherheitsexperten“, sagte Progress.
Progress sagte, die Verstöße seien im Mai beobachtet worden und schlug Anpassungen an den Einstellungen ihrer Software vor, um Datenlecks zu verhindern, während auf ein effektiveres Update gewartet werde. Es hieß, das sei der Fall ein Software-Update herausgegeben Dies würde es Unternehmen ermöglichen, den Fehler in ihren Systemen zu beheben.
Der Daily Telegraph berichtete erstmals, dass britische Unternehmen von dem Hack betroffen seien.
„Die gesamte Zellis-eigene Software bleibt davon unberührt und es gibt keine damit verbundenen Vorfälle oder Gefährdungen in irgendeinem anderen Teil unseres IT-Bestands“, sagte Zellis und fügte hinzu, dass das Büro des britischen Informationskommissars, der Leiter der Staatsanwaltschaft und das National Cyber Security Centre informiert worden seien sowie ihre Äquivalente in Irland.