MOVEit-Angriffe könnten bis zu 100 Millionen Dollar an Erpressungsgeldern einbringen: Cyber-Firma
Während nur wenige Opfer die Erpressungsforderungen von Clop bezahlen werden, könnte die cyberkriminelle Gruppe von diesen Opfern "sehr hohe" Zahlungen erhalten, so ein Bericht der Incident Response Firma Coveware.
Jüngste Datenerpressungsangriffe, bei denen eine kritische Schwachstelle im MOVEit-Dateiübertragungsprogramm ausgenutzt wurde, werden der cyberkriminellen Gruppe Clop wahrscheinlich bis zu 100 Millionen Dollar einbringen, so die Ermittlungen des auf Sicherheitsvorfälle spezialisierten Unternehmens Coveware.
Clop, eine russischsprachige Gruppe, hat behauptet, dass die Gruppe die gestohlenen Daten des Opfers nicht auf ihrer Darkweb-Site veröffentlichen würde, wenn ein Opferunternehmen ihre Forderung bezahlt.
In einem Beitrag vom Freitag deutete Coveware an, dass die große Mehrheit der von der MOVEit-Kampagne betroffenen Opfer sich weigern wird, die Forderungen von Clop zu bezahlen.
Für die Opferorganisationen, die dennoch zahlen, könnten die Erpressungsbeträge nach den Erkenntnissen von Coveware jedoch erheblich sein. Das Unternehmen schätzt, dass Clop bei den Angriffen, die vermutlich Ende Mai begannen, zwischen 75 und 100 Millionen Dollar erhalten wird.
"Dies ist eine gefährliche und schwindelerregende Geldsumme für eine relativ kleine Gruppe", so Coveware in seinem Bericht. Der Geldsegen der MOVEit-Kampagne stammt von "nur einer kleinen Handvoll Opfer, die sehr hohe Lösegeldzahlungen geleistet haben", so das Unternehmen.
Verwaltete Dateitransfer-Tools wie MOVEit Transfer von Progress ermöglichen die Aufnahme großer Datenmengen, die dann von einem Punkt zum anderen verschoben werden können, was sie zu einem attraktiven Ziel für Datendiebe macht.
Die weit verbreitete kritische Sicherheitslücke in MOVEit (CVE-2023-34362) wurde von Progress am 31. Mai gemeldet. Nach Angaben des Emsisoft-Bedrohungsanalysten Brett Callow gibt es inzwischen mindestens 383 bekannte Opfer der MOVEit-Angriffe, von denen mehr als 20 Millionen Personen betroffen sind.
Coveware schätzt, dass mehr als 1.000 Unternehmen direkt von den MOVEit-Angriffen betroffen sein könnten, obwohl nur ein "sehr geringer Prozentsatz der Opfer versucht hat, zu verhandeln, geschweige denn zu zahlen". Die wenigen Opfer, die Clop bezahlt haben, haben den Ergebnissen zufolge jedoch weit mehr als den Standard-Lösegeldbetrag gezahlt.
Bei früheren Angriffskampagnen von Clop, wie z. B. den GoAnywhere-Angriffen zu Beginn dieses Jahres, fand die Cybercrime-Gruppe nur wenige Unternehmen, die bereit waren, eine Erpressungsforderung zu zahlen, um ein Datenleck zu verhindern, so Coveware. Als Reaktion darauf hat Clop "in der MOVEit-Kampagne eine wesentliche Änderung vorgenommen und die durchschnittliche Forderung an die Opfer drastisch erhöht", so Coveware.
Der Faktor Versicherung?
Ein Grund dafür, dass Unternehmen bei einem reinen Erpressungsangriff - im Gegensatz zu einem Standard-Ransomware-Angriff, bei dem Dateien verschlüsselt werden - weniger geneigt sind, die Forderungen eines Bedrohungsakteurs zu zahlen, liegt in der Cyber-Versicherung, so Chester Wisniewski, Field CTO von Sophos, gegenüber CRN.
Während ein Versicherungsunternehmen ein Lösegeld zahlen kann, um Entschlüsselungsschlüssel für Dateien zu erhalten, "werden sie keine Erpressungsgebühr zahlen", sagt Wisniewski. Die konventionelle Weisheit der Versicherer lautet: "Ich kaufe De-Chiffrierschlüssel, die es mir ermöglichen, diesen Kunden schneller wieder online zu bringen, und das reduziert meine Kosten für den Vorfall". Sie glaubten, dass sie einen Nutzen daraus ziehen könnten, so Wisniewski.
Aber wenn ein Angreifer von einem Opfer eine Zahlung nur dafür verlangte, dass er dessen Daten nicht online stellt, werde ein Versicherer das wahrscheinlich nicht übernehmen, so der Sophos-Experte. "Sie zahlen nicht dafür, dass sie [einen Verstoß] vor den GDPR-Behörden verbergen", sagte er.
Im Vergleich zu Ransomware-Angriffen, die eine Verschlüsselung beinhalten, sind reine Datenerpressungsangriffe für Bedrohungsakteure nicht so schwierig zu bewerkstelligen, so Coveware in seinem Bericht. Aber Angriffe, die nur Datendiebstahl und Erpressung beinhalten, sind auch nicht so störend, was ein Hauptgrund für die geringere Wahrscheinlichkeit ist, dass ein Opfer zahlen wird, so das Unternehmen.
Angriffe, die sich auf Datenerpressung beschränken, "führen nicht zu einer wesentlichen Unterbrechung des Geschäftsbetriebs wie Verschlüsselungsangriffe, können aber die Marke schädigen und zu Kündigungspflichten führen", schlussfolgert der Coveware-Bericht.
