Picus Security analysiert CL0P-Ransomware-Angriffe auf MOVEit-Schwachstelle

Das Cybersicherheitsunternehmen Picus Security hat eine Analyse der kritischen SQL-Injection-Schwachstelle CVE-2023-34362 veröffentlicht, die in der MOVEit Transfer-Anwendung von Progress Software gefunden wurde. Diese Schwachstelle wird aktiv von der CL0P-Ransomware-Gruppe ausgenutzt und ermöglicht Angreifern den Diebstahl sensibler Daten sowie die Ausführung von beliebigem Code auf kompromittierten Systemen.

MOVEit Transfer ist eine weit verbreitete Anwendung für sichere Dateiübertragungen, die von Organisationen weltweit, einschließlich Regierungs- und Finanzinstitutionen, eingesetzt wird. Die Schwachstelle wurde im Juni 2023 von CISA öffentlich gemacht, jedoch begannen die Exploits bereits am 27. Mai 2023. Ersten Scans zufolge waren über 2.500 MOVEit-Server online exponiert, ein signifikanter Anteil davon in den USA. Betroffen waren unter anderem namhafte Organisationen wie die BBC und British Airways.

Picus Security beschreibt in seiner Untersuchung, wie die CL0P-Akteure die Schwachstelle nutzen, um eine Web-Shell namens LEMURLOOT zu installieren. Dies ermöglicht ihnen, Persistenz in den Systemen der Opfer zu erlangen und sensible Dateien herunterzuladen. Die LEMURLOOT-Web-Shell erfordert spezifische Authentifizierungsheader zur Ausführung von Befehlen.

Die CL0P-Ransomware ist bekannt für ihre Double-Extortion-Taktik, bei der Daten abgezogen werden, bevor sie verschlüsselt werden. Die Gruppe wurde zuvor mit großflächigen Phishing-Kampagnen in Verbindung gebracht. Die fortgesetzte Ausnutzung unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen und kontinuierlicher Überwachung.

Picus Security bietet Sicherheitsvalidierungsplattformen an, die es Organisationen ermöglichen, Angriffe wie die von CL0P-Ransomware simulierten Szenarien durchzuführen, um ihre Abwehrmaßnahmen gegen reale Bedrohungen zu testen und zu verbessern.