Zu den Betroffenen gehört unter anderem der deutsche Energietechnik-Konzern Siemens Energy, der den Angriff nach eigenen Angaben abwehren konnte. Die Hacker nutzen für ihre Raubzüge eine Schwachstelle der Software MOVEit aus, die zur Übertragung sensibler Informationen genutzt wird. Die Verantwortung für die Angriffe übernahm "Cl0p".
Nachfolgend einige Fragen und Antworten zu dieser Hackergruppe:
Wer steckt hinter CL0p?
Die Identität oder der Standort von Cl0p ist unbekannt. Cybersicherheitsexperten zufolge hat die Gruppe aber Verbindungen zu Russland oder russischsprachige Mitglieder. Der Name gilt als Wortspiel mit der russischen Übersetzung des englischen Worts "Bug", das im Fachjargon der Computerbranche für Softwarefehler steht.
2021 gab die Ukraine die Festnahme von sechs Personen mit Verbindungen zu Cl0p bekannt. Es blieb aber unklar, ob es sich um Schlüsselfiguren der Gruppe handelt, da die Angriffe weitergingen.
Wie arbeitet CL0p?
Cl0p bietet "Ransomware-as-a-Service" an. Die Gruppe vermietet ihre Expertise und Schadsoftware an andere Cyber-Kriminelle. Im Gegenzug erhält sie einen Anteil an der Beute. Die Gruppe hat sich auf sogenannte Ransomware spezialisiert. Diese Software verschlüsselt die Daten des Opfers. Um an das Passwort für die Entschlüsselung zu gelangen, müssen diese dann ein Lösegeld (englisch: Ransom) zahlen.
Die Hackergruppe gilt auch als Pionier der Doppel-Erpressung. Dabei verschlüsseln die Angreifer die Daten nicht nur, sondern drohen auch mit der Veröffentlichung, wenn die Opfer nicht zahlen. Das Cybersicherheitsunternehmen TrendMicro bezeichnet Cl0p als "Trendsetter für ständig wechselnde Taktiken". Die Gruppe, die sich selbst gelegentlich "CLOP" schreibt, war für einen Kommentar zunächst nicht zu erreichen.
Warum gab es so viele Opfer?
Eine zuvor unbekannte Schwachstelle in einem populären Programm zur Übertragung von Daten "MOVEit Transfer" war für Cl0p das Einfallstor. Dabei konnten sie auch Informationen von Unternehmen stehlen, die Daten anderer Organisationen verwalten. Dadurch erhielten sie Zugriff auf deren Datensätze.
Angriffe auf Programme zur Datenübertragung haben zuletzt zugenommen. Dabei verschlüsseln Hacker die Daten nicht mehr unbedingt. Stattdessen saugen sie die Informationen zunächst ab und drohen mit der Veröffentlichung, wenn die Opfer kein Lösegeld zahlen.
Verweigern die Betroffenen die Zahlung, stellt Cl0p die Namen der Angegriffenen auf seine Webseite im Darknet. Dieser Teil des Internets ist für klassische Suchmaschinen unsichtbar und wird meist für illegale Aktivitäten genutzt.
Wer wurde von CL0p angegriffen?
Bislang wurden rund 120 Firmen und Organisationen Opfer der Hackergruppe. Die Gruppe reklamiert unter anderem Attacken auf den Unterhaltungselektronik-Anbieter Sony, den Ölkonzern Shell sowie die Unternehmensberatungen PwC und EY für sich. Angegriffen wurden auch staatliche Behörden wie das US-Energieministerium und die britische Telekom-Aufsicht.
Viele der Opfer betonen zwar, das die Datentransfer-Software und nicht die eigenen IT-Systeme gehackt wurden. Allerdings wurden damit übertragene Daten gestohlen. Dies bedeutet, dass Informationen von Bürgern, Kunden und Geschäftspartnern kompromittiert wurden. Brett Callow von der Cybersicherheitsfirma Emsisoft taxiert die Zahl der hiervon Betroffenen Individuen auf 15 Millionen. "Sie ist aber wahrscheinlich höher, vielleicht sogar viel, viel höher."
Wie läuft der Kampf gegen CL0p?
Die grosse Zahl der direkten und indirekten Opfer der aktuellen Angriffswelle stellen Cybersicherheitsexperten und Ermittlungsbehörden vor eine Mammutaufgabe. "Alle sind überrumpelt", sagt Charles Carmakal, Technologie-Chef der IT-Sicherheitsfirma Mandiant, die zur Google-Mutter Alphabet gehört. "Die vergangenen Wochen waren anstrengend." Sogar die Hacker hätten Mühe, der Datenmengen Herr zu werden.
Die US-Bundespolizei FBI ermittelt nach eigenen Angaben bereits wegen der Angriffe. Zuvor hatte die US-Regierung in Washington bereits eine Belohnung von zehn Millionen Dollar für Informationen zu Cl0p - oder jede andere Hackergruppe, die kritische US-Infrastruktur angreift - ausgelobt.
(Reuters)
