Eine russischsprachige Cybercrime-Bande namens Clop hat Schneider Electric auf seine Opferliste gesetzt.
Wie Schneider Electric am Dienstag mitteilte, hat das Unternehmen Ermittlungen eingeleitet, nachdem sein Name im Darkweb auf der Seite der Clop-Bande aufgetaucht war.
Clop hat sich für Einbrüche bei Dutzenden von Firmen und Organisationen verantwortlich erklärt. Für ihre breit angelegte Angriffskampagne hätten sie eine Schwachstelle des beliebten Managed-File-Transfer-Tool MOVEit von Progress ausgenutzt.
Die Veröffentlichung der Namen ihrer angeblichen Opfer gehört zur Erpressungstaktik Taktik von Clop. Unternehmen, die eine Offenlegung der vermeintlich gestohlenen Daten verhindern wollen, müssen ein Lösegeld zahlen und die quasi öffentliche Blosstellung als Opfer soll den Druck erhöhen. Inzwischen führt Clop in seiner Liste erfolgreicher Angriffe als 100 Unternehmen auf.
Schneider Electric bestätigte seine Verwendung von MOVEit-Produkt gegenüber CRN und teilte mit, dass sein Cybersecurity-Team der Behauptung nachgehe, dass Clop das Unternehmen erfolgreich angegriffen hat.
Laut eigenen Anhaben war Schneider Electric am 30. Mai 2023 wurde auf vorhandene Schwachstellen aufmerksam geworden und habe dann "umgehend alle verfügbaren Maßnahmen zum Schutz der Daten und der Infrastruktur ergriffen."
"Am 26. Juni 2023 wurde Schneider Electric auf die Behauptung aufmerksam gemacht, die besagt, dass wir Opfer eines Cyberangriffs im Zusammenhang mit MOVEit-Schwachstellen geworden sind.
"Unser Cybersecurity-Team untersucht derzeit auch diese Behauptung", so das Unternehmen in seiner Mitteilung.
Wachsende Opferliste
Zu den weiteren Unternehmen, die Clop in den letzten Tagen auf ihrer Darkweb-Site aufgeführt hat, gehört unter anderem Siemens Energy, die bestätigt haben, dass ihnen im Rahmen der MOVEit-Angriffen Daten gestohlen worden sind. Der ebenfalls gelistete IT-Lösungsanbieter Cognizant hat sich auf Anfragen bisher nicht geäussert.
In den letzter Zeit hatte Progress mehrere Schwachstellen in seinem MOVEit-Tool entdeckt. Inzwischen ist auch die Quelle der Angriffe von Clop ausgemacht: Über die Schwachstelle CVE-2023-34362 sei eine Ausweitung der administrativen Rechte und nicht autorisierter Zugriff möglich, berichtete Progress der CRN. Es gebe keine Hinweise darauf, dass Angreifer auch die kürzlich bei MOVEit identifizierten Schwachstellen (CVE-2023-35708 und CVE-2023-35036) ausgenutzt haben.
Zu den bestätigten Opfern der breit gestreuten Clop-Angriffe gehören unter anderem Shell, PricewaterhouseCooper (PWC) , die Johns Hopkins Universität, British Airways, die BBC und EY (Ernst & Young). Im öffentlichen Sektor haben die Ransomware-Attacke bisher zwei Einrichtungen des US-Energieministeriums sowie die KFZ-Behörden und Louisiana und Oregon bestätigt.