Wenn gestohlene Daten online veröffentlicht werden

Hacker versuchen den Ruf von Unternehmen zu ruinieren, indem sie Links zu Daten verschicken, die über Schwachstellen in FTA von Accellion gestohlen wurden.

Letztes Jahr sickerten Informationen durch, dass Unternehmen angegriffen wurden, die die veraltete File-Transfer-Appliance (FTA) von Accellion verwenden. Einige Cyberverbrecher machten sich die Schwachstellen in den in Accellion-FTA-Servern zunutze, um vertrauliche Informationen zu stehlen. Danach drohten sie den Opfern mit der Veröffentlichung der Daten, sollte das geforderte Lösegeld nicht bezahlt werden. Wir sind gar nicht darüber erfreut, mitteilen zu müssen, dass es sich um keine leeren Drohungen handelte.

Die kritischen Sicherheitslücken

Die FTA von Accellion ist eine Netzwerkanwendung, die von Unternehmen verwendet wird, um große Dateien schnell und leicht zu verschicken.  Die Anwendung ist inzwischen zwanzig Jahre alt und Entwickler empfehlen schon seit Langem modernere Produkte zu verwenden.

Im Dezember 2020 ermöglichte die Entdeckung von zwei Sicherheitslücken – CVE-2021-27101 und CVE-2021-27102 – den Angreifern den Zugriff auf Dateien, die in den FTA-Server hochgeladen wurden. Diese zwei Sicherheitslücken wurden behoben, doch im Januar 2021 wurden zwei weitere Schwachstellen (CVE-2021-27103 und CVE-2021-27104) entdeckt und gepatched.

Trotzdem gelang es den Eindringlingen die Daten einiger Benutzer der Accellion-FTA zu stehlen. Einige Berichte in namhaften Zeitungen erschienen über die Datenlecks. Da sich offensichtlich nicht alle Opfer bereit erklärten das Lösegeld zu zahlen, machten die Angreifer ihre Drohung wahr und veröffentlichten die gestohlenen Daten.

So wurden die Daten von den Cyberkriminellen veröffentlicht

Vor Kurzem haben wir Massenmails entdeckt, die mit der Absicht verschickt wurden, dem Ruf des Opfers zu schaden. Diese E-Mails wurden an Mitarbeiter, Kunden, Partnerunternehmen und Wettbewerber gesendet. Das Ausmaß der E-Mail-Kampagne und woher die Adressenlisten sind ist noch unklar, aber die Cyberverbrecher haben sich Mühe gemacht, so viele Personen wie möglich mit diesen Informationen zu erreichen.

Die E-Mail, die die Angreifer an Mitarbeiter, Kunden, Partnerunternehmen und Wettbewerber schickten.

In der E-Mail wurde den Empfängern nachdrücklich geraten, über den Tor-Browser eine .onion-Seite zu besuchen, die angeblich über zehntausendmal am Tag abgerufen wird. Laut der E-Mail zählten zu den Websitebesucher alle mögliche Hacker und Journalisten, die der Infrastruktur und dem Ruf eines Unternehmens noch größeren Schaden zufügen könnten. Interessanterweise gehört die Website der CL0P-Gruppe, die auf Ransomware spezialisiert ist. Trotzdem wurden die Daten, die aufgrund der Schwachstellen in der FTA von Accellion gestohlen werden konnten, nicht verschlüsselt. Daraus ist zu schließen, dass die Hacker sich die praktische Plattform nur zu nutzen machen.

Das Ziel besteht deutlich darin andere Opfer einzuschüchtern. Nebenbei gesagt, sind sowohl in der E-Mail als auch auf der Website Kontaktdaten der Hacker zu finden, damit sich die Opfer mit ihnen in Verbindung setzen können. Die Hacker bieten die Möglichkeit keinen weiteren Zugriff mehr auf die veröffentlichten Dateien zu gewähren, was allerdings wenig Sinn hat, wenn die Daten bereits veröffentlicht wurden.

Es ist auch erwähnenswert, dass auf der Website ein Kurs für Administratoren angeboten wird, in dem die Teilnehmer angeblich lernen, wie die Sicherheitslücken, die den Datendiebstahl ermöglicht haben, geschlossen werden können – für 250.000 $ in Bitcoin.

Den potenziellen Opfern wird angeblich Hilfe angeboten, um nicht das gleiche Schicksal zu erleiden.

Wir bezweifeln, dass jemand in diese Falle tappt. Für Anfänger haben die Entwickler bereits aktualisierte Versionen der FTA von Accellion veröffentlicht und wer im Tor-Browser nach Hilfe fragt, gibt öffentlich zu, dass er selbst nicht in der Lage ist die Sicherheitslücken zu schließen und diese weiterhin für Exploits verwendet werden könnten.

So schützen Sie Ihr Unternehmen vor Angriffen

Aktualisieren Sie die FTA von Accellion – oder noch besser, ersetzen Sie diese Lösung durch eine andere (das wird sogar von den Entwicklern empfohlen).

Aktualisieren Sie dann die Softwareprodukte und andere Services, die Zugriff auf das Internet haben. Es ist wichtig diese Maßnahmen sofort zu ergreifen, aber auch generell auf rechtzeitige Aktualisierungen zu achten.

Darüber hinaus sollte jedes Gerät geschützt werden – egal, ob es ein Mitarbeiter-Computer, ein Server oder eine Hardware-/Software-Lösung ist. Dafür eignet sich ein Sicherheitsprodukt, das Exploit-Versuche frühzeitig entdeckt, einschließlich bei noch unbekannten Sicherheitslücken.

Opfern einer Erpressung raten wir nicht zu zahlen. Im offiziellen Blog von Eugene Kaspersky finden Sie einen vor Kurzem veröffentlichten Beitrag, der die Gründe dafür detailliert beschreibt.

Tipps