Ein Cyber-Bug-Cluster, von dem angenommen wird, dass er seinen Hauptsitz in Russland hat, hat den Cyber-Angriffsplänen ein Ultimatum gestellt.
Die Gruppe namens Clop richtete eine Warnung an die Betroffenen des Cyberangriffs, den sie MOVEit nannten, und forderte sie auf, vor dem 14. Juni auf ihre E-Mails zu antworten.
Die Gruppe sagte, dass andernfalls die von diesen Personen gestohlenen Daten veröffentlicht würden.
„Wir möchten Unternehmen, die Progress MOVEit nutzen, darüber informieren, dass wir möglicherweise viele Ihrer Daten mithilfe einer außergewöhnlichen Software-Schwachstelle heruntergeladen haben“, heißt es in der der BBC eingesehenen Erklärung.
Anschließend wurde darum gebeten, eine E-Mail an die Organisationen zu senden, um den Verhandlungsprozess einzuleiten.
Dies ist tatsächlich eine ungewöhnliche Taktik für einen Cyberkriminalitätsvorfall.
Bei solchen Vorfällen werden Lösegeldforderungen von Cyberkriminellenbanden normalerweise per E-Mail direkt an die Opferorganisationen gesendet.
In diesem Fall werden die betroffenen Organisationen um Kontaktaufnahme gebeten.
Es wird vermutet, dass Clop eine solche Taktik anwendete, weil er mit dem Ausmaß der von ihm begangenen Cyberkriminalität nicht zurechtkam.
Arbeitgeber warnen ihre betroffenen Mitarbeiter davor, willkürliche Zahlungen an Clop zu leisten.
Untersuchungen zur Cybersicherheit haben ergeben, dass Clop möglicherweise für den Cyberangriff verantwortlich ist, der letzte Woche erstmals auf der Tagesordnung stand.
Es wird vermutet, dass der Cyber-Bug-Cluster eine bekannte, im Geschäftsleben verwendete Software namens MOVEit beschlagnahmt und von dort aus auf die Wissensdatenbank Hunderter verschiedener Unternehmen zugegriffen hat.
Der in Großbritannien ansässige Lohn- und Gehaltsabrechnungsdienstleister Zellis war einer der MOVEit-Benutzer.
Zellis bestätigte, dass Informationen von acht Organisationen gestohlen worden seien, darunter Wohnadressen der Arbeitnehmer, Sozialversicherungsnummern und in einigen Fällen Bankdaten.
Hier sind die Unternehmen, die sagen, dass die Informationen bisher möglicherweise gestohlen wurden:
BBC
British Airways
Lingus-Fluggesellschaft
Stiefel
Regierung von Nova Scotia
Universität Rochester
Experten empfehlen Betroffenen, nicht in Panik zu geraten und Organisationen Sicherheitsüberprüfungen durchzuführen, die von Behörden wie der Cybersecurity and Infrastructure Authority in den USA durchgeführt werden.
Clop argumentiert, dass er die bei der Regierung, der Stadt oder der Polizei gespeicherten Daten gelöscht habe.
Auf einer von der Gruppe genutzten Website heißt es: „Keine Sorge, wir haben Ihre Daten gelöscht, Sie müssen uns nicht kontaktieren. Wir sind nicht daran interessiert, diese medizinischen Informationen preiszugeben.“
Allerdings sagen Forscher, dass man diesen Ankündigungen nicht trauen sollte.
„Die These, dass Clop Informationen über öffentliche Branchenorganisationen gelöscht hat, sollte mit Argwohn betrachtet werden. Wenn die Informationen Geld kosten oder für Phishing verwendet werden könnten, ist es unwahrscheinlich, dass sie gelöscht wurden“, sagt Brett Callow, Forscher beim Antiviren-Unternehmen Emsisoft.
Cyber-Sicherheitsexperten verfolgen Clop seit langem, das vermutlich seinen Sitz in Russland hat, da es stark in russischsprachigen Foren operiert.
Russland wird seit langem vorgeworfen, ein sicherer Hafen für Ransomware-Banden zu sein, weist diese Argumente jedoch zurück.
Clop, eine „Ransomware-Dienstleister“, soll Systeme gemietet haben, um Angriffe aus der ganzen Welt zu starten.
Im Jahr 2021 wurden in der Ukraine bei einer gemeinsamen Operation mitten in der Ukraine, den USA und Südkorea Personen festgenommen, die angeblich mit Clop in Verbindung stehen.
T24