(Aktualisiert am 16. März 2023 um 09:05 Uhr) In einem E-Mail-Austausch bestätigt Cl0p, dass es die Schwachstelle CVE-2023-0669 in Fortras GoAnywhere MFT ausgenutzt hat, um Rubik anzugreifen. Michael Mestrovic, CISO von Rubrik, räumte in seinem Blog ein, dass das Unternehmen dadurch angegriffen wurde, verknüpfte dies aber nicht mit der Cl0p-Behauptung. Er gab auch nicht bekannt, wann das, was er den „unbefugten Zugriff“ nannte, stattfand. Cl0p sagt nur “vor einem Monat”, ohne genauer zu werden – “Entschuldigung, viele Unternehmen wurden gehackt”.
(aktualisiert am 15. März 2023, 8:50 Uhr) Ein genauerer Blick auf die Daten von Onyphe über das MFT-System GoAnywhere von Rubrik, das von CVE-2023-0669 betroffen war und von Cl0p zur Durchführung seines Angriffs ins Visier genommen wurde, zeigt, dass seine Verwaltungsschnittstelle direkt von Port 443 aus zugänglich ist. Dies deutet darauf hin, dass seine Angriffe gegen GoAnywhere durchgeführt wurden Schwache MFT-Fälle Die Cl0p-Gruppe hat auf einer größeren Vielfalt von Ports nach Angriffsvektoren gesucht, mehr als bisher vorgeschlagen.
(Aktualisiert am 14. März 2023, 20:05 Uhr) Rubrik veröffentlichte einen Blog-Beitrag über die Situation und bestätigte einen Cyberangriff im Zusammenhang mit dem Exploit CVE-2023-0669. In dem Beitrag stellt Michael Mestrovic, CISO bei Rubik, fest, dass das Unternehmen „unbefugten Zugriff auf eine begrenzte Menge an Informationen in einer unserer Test-IT-Umgebungen festgestellt hat, die von der Produktionsumgebung getrennt sind“. Das Datum der Offenlegung, das Datum des Eindringens oder die Menge der betroffenen Daten wird nicht angegeben.
RSSI stellt jedoch fest, dass die Untersuchung bereits die Feststellung ermöglicht hat, dass “der unbefugte Zugriff nicht mit den Daten zusammenhängt, die wir unseren Kunden über unsere Produkte sichern”. Die betroffenen Daten „sind in erster Linie die internen Geschäftsinformationen von Rubrik, die die Namen bestimmter Kunden und Geschäftspartner, geschäftliche Kontaktinformationen und eine begrenzte Anzahl von Bestellungen von Rubrik-Händlern umfassen.“ Es werden keine sensiblen personenbezogenen Daten betroffen sein.
Minuten nach der ursprünglichen Veröffentlichung dieses Artikels wurde der Anspruch aus der Cl0p-Storefront entfernt.
(Originalartikel, 14. März 2023 um 13:20 Uhr) Nach Exagrid im Frühjahr 2021 ist ein weiterer Speicherspezialist an der Reihe, im Zentrum eines Cyber-Erpressungsversuchs zu stehen: Rubik. An diesem Dienstag, dem 14. März, meldete die Cl0p-Gruppe einen Cyberangriff gegen sie. Nach Rücksprache mit der Redaktion hat Rubrik zum Zeitpunkt dieser Veröffentlichung noch nicht auf die Bitte des Herausgebers um Stellungnahme geantwortet. Dieser Artikel wird mit allen zusätzlichen Artikeln, die wir erhalten, aktualisiert.
Cl0p kehrte Anfang Februar zurück und nutzte die angegebene Schwachstelle CVE-2023-0669 aus, um in etwa zehn Tagen mehr als 130 Organisationen auf der ganzen Welt anzugreifen. Die Bande bestätigte unseren Kollegen Schlafender Computer.
Diese kritische Schwachstelle betrifft die MFT-Dateiübertragungsanwendung GoAnywhere über ihre Verwaltungsschnittstelle. Publisher Fortra hat damit begonnen, seine Kunden am 1beliebig Februar. Unser Kollege Brian Krebs veröffentlichte am nächsten Tag eine Kopie der Warnung.
Dann war kein Patch für diese Schwachstelle verfügbar und der Herausgeber schlug Maßnahmen vor, um ihre Ausnutzung zu verhindern. Es wird knapp eine Woche dauern, bis Fortra eine neue Version mit der Nummer 7.1.2 und einem Patch veröffentlicht. Etwas früher wurde ein Exploit-Guide für die Schwachstelle angekündigt.
Rubrik ist ein GoAnywhere MFT-Benutzer. Der Instanzname gibt an, dass er zum Übertragen von Dateien im Zusammenhang mit seinen Softwareentwicklungsaktivitäten verwendet wird. Shodans Daten deuten darauf hin, dass es sich am 11. Februar noch um Version 6.8.6 handelte. Die von Onyphe weisen darauf hin, dass der Patch zwischen dem 15. und 19. Februar angewendet wurde. Keine spezialisierte Suchmaschine hat jedoch die geringste Spur davon, die Verwaltungsschnittstelle für das Beispiel auf ihren Standardports 8000 und 8001 verfügbar zu machen. Zum Zeitpunkt der Erstellung dieses Artikels ist das fragliche Beispiel nicht zugänglich.
Rubrik wurde vor weniger als 10 Jahren gegründet und veröffentlicht Backup-Software, die von Grund auf mit dem Ziel entwickelt wurde, Backups schnell wiederherzustellen. Diese Funktion hat es gegenüber historischen Konkurrenten bei Ransomware-Schutzprojekten bevorzugt, die eher eine Notfallwiederherstellung als ein einfaches Backup sind. Unter seinen Waffentaten wird ihm zugeschrieben, dass er Manutan vor einem Cyberangriff gerettet hat, den er im Februar 2021 erlitten hat, als sich der ebenfalls von Manutan eingesetzte Konkurrent Veeam als nicht wirksam erwies.
Die Cl0p-Gruppe, die ebenfalls unter der Ref. TA505 folgte, ist nicht der erste Exploit einer Sicherheitslücke, die das Dateiübertragungssystem betrifft. Anfang 2021 vervielfachte die Gruppe die Verluste durch Angriffe auf Accellion File Transfer Devices (FTA). Unter den betroffenen Unternehmen sind die französischen Geowissenschaften CGG, Steris, CSX, Bombardier und Qualys.
Cl0p war im Juni 2021 einem Polizeieinsatz in der Ukraine ausgesetzt, der zu sechs Festnahmen führte. Aber offensichtlich nicht, wenn die Aktivitäten der Gruppe vollständig zum Erliegen kommen.
