Die russischsprachige Hackerbande, die britische Konzerne wie British Airways und die BBC kompromittiert hat, hat behauptet, sie habe sensible Daten von weiteren Institutionen abgezogen, darunter in den USA ansässige Investmentfirmen, europäische Hersteller und US-Universitäten.
Die Gruppe, die sich Clop nennt, nach dem russischen Wort für Bettwanzen, fügte dem deutschen Industriekonzern Heidelberg hinzu; Putnam Investments mit Sitz in Kansas, mit einem verwalteten Vermögen von 168 Milliarden US-Dollar; und Leggett & Platt, ein 4-Milliarden-Dollar-Hersteller in Missouri, zu einer Liste von Unternehmen, die angeblich gehackt wurden.
Acht weitere Unternehmen haben es diese Woche auf Clops Liste im Darknet geschafft. Dies kommt zu den Nachrichten von letzter Woche hinzu, dass britische Konzerne, darunter Boots, das zu Walgreens gehört, ihre Mitarbeiter darüber informiert haben, dass ihre Daten kompromittiert wurden. Das Problem, das erstmals am 31. Mai aufgedeckt wurde, betraf auch Kunden von Zellis, einem in Großbritannien ansässigen Lohn- und Gehaltsabrechnungsanbieter, den etwa die Hälfte der Unternehmen im FTSE 100 nutzt.
„Das ist ein ziemlich schlimmer und ziemlich großer Vorfall“, sagte Ciaran Martin, Vorsitzender von CyberCX UK, der bei der Gründung des nationalen Zentrums für Cybersicherheit mitgewirkt hat. „Diese Unternehmen nutzten in gutem Glauben einen Dienst, dem sie vertrauten.“
Laut einem Beitrag auf Clops dunkler Website drängt die Hackergruppe auf Kontakt mit den Unternehmen auf der Liste, da die Bande ein Lösegeld fordert, das laut Cybersicherheitsexperten und Verhandlungsführern bis zu mehreren Millionen Dollar betragen könnte. Clop droht damit, sensible Informationen herauszugeben, es sei denn, die Unternehmen bereiten sich auf die Zahlung „erheblicher“ Beträge vor.
Eine Person, die über Clops E-Mail-Konto antwortete, lehnte einen Kommentar ab.
In den nächsten Tagen dürften weitere Firmennamen hinzukommen. Sicherheitsforscher sagten, Clop habe zwei Wochen gebraucht, um eine vollständige Liste der Namen einer früheren Hackerkampagne preiszugeben. Die Clop-Hacker zeichnen sich dadurch aus, dass sie ausgefeilte Methoden anwenden, die über E-Mails voller Malware hinausgehen.
Der jüngste Hack nutzte eine Schwachstelle in einer „sicheren“ Dateiübertragungssoftware aus, die von Hunderten von Unternehmen verwendet wird, und verdeutlichte die Verwundbarkeit von Unternehmen gegenüber raffinierten Cyberangriffen, die auf Schwachstellen in ihrer Software-Lieferkette abzielen.
Heidelberg, Hersteller von Maschinen für den Massendruck, sagte, man sei sich des Angriffs auf sein System bewusst, der „schnell und effektiv abgewehrt wurde und nach unserer Analyse zu keinem Datenverstoß geführt hat“.
Putnam und Leggett antworteten nicht auf Anfragen nach Kommentaren.
Den Ermittlern zufolge hat sich Clop zu einem Ransomware-Betreiber mit technischem Fachwissen und strategischer Geduld entwickelt.
„Sie verfügen über ein ungewöhnliches Maß an operativem Scharfsinn“, sagte Jeremy Kennelly, der Finanzkriminalität beim zu Google gehörenden Unternehmen Mandiant, einem Cybersicherheitsunternehmen, untersucht. Gleichzeitig, sagte er, zeigten ihre Taktiken, dass Clop verstehe, wie und wo Unternehmen ihre wertvollen Daten speichern, bevor sie sie stehlen.
Über Clop ist nur wenig bekannt, außer wie sie funktionieren. Kennelly und andere Forscher sagen, dass einige ihrer Codes und Metadaten Russisch verwenden, sie ihre Arbeit häufig an russisch-orthodoxen Feiertagen einstellen und Angriffe auf russischsprachige Länder vermeiden.
Clop-Hacker haben sich in den letzten Monaten Zugang zu persönlichen Daten verschafft, indem sie in MOVEit eingebrochen sind, eine Dateiübertragungssoftware, die von Ingenieuren bei Progress Software entwickelt wurde.
Dann warteten sie ab und verbrachten Monate damit, die Cyberabwehr der Zielunternehmen zu untersuchen, die Progress für die Sicherung ihrer Daten bezahlen, bevor sie viele Unternehmen gleichzeitig angriffen. Einige Beweise zeigen, dass Clop Monate zuvor Tests durchgeführt hatte.
Progress Software, ein US-Unternehmen mit einem Umsatz von 2,7 Milliarden US-Dollar, informierte seine Kunden am 31. Mai darüber, dass es dieselbe Schwachstelle entdeckt hatte, und gab eine Notfalllösung heraus. Eine weitere Stellungnahme lehnte das Unternehmen mit der Begründung ab, es arbeite mit den US-Behörden zusammen.
„Der Frühste [breach] „Wir fanden heraus, dass es am 27. Mai war“, sagte Steven Adair, Geschäftsführer des US-amerikanischen Cybersicherheitsunternehmens Veloxity, das bei mehreren seiner Kunden Erste-Hilfe-Maßnahmen durchführte. „Aber es könnte andere geben, die Gott weiß wie lange ausgebeutet wurden.“
Dies ist Clops dritte bekannte Kampagne zur Jagd auf die gesicherten Daten von Organisationen. Forscher schätzen, dass zwei in der Vergangenheit Millionen von Dollar eingebracht haben, und die Namen und Daten derjenigen, die sich weigerten zu zahlen – von Bombardier bis zur Stanford University – sind immer noch auf der Dark-Web-Leak-Site verfügbar.
Clops bewährte Vorgehensweise mit dem Spitznamen „Hack-and-Leak“ sieht angeblich vor, dass die Daten derjenigen gelöscht werden, die zahlen, wobei der Preis der Transaktion je nach Unternehmen variiert. Geistiges Eigentum gehört zu den wertvollsten, während personenbezogene Daten oft als die am wenigsten wertvollen angesehen werden.
„Das ist ein interessanter Tanz“, sagte Don Smith, Vizepräsident von Secureworks Counter Threat Unit, ein Cybersicherheitsunternehmen. „Wenn sie plötzlich ein Opfer auflisten und seine Daten wegwerfen, geraten sie in die Enge. Sie bekommen kein Geld mehr von diesem Opfer.“