Daten von bis zu 100.000 Mitarbeitern des Gesundheitswesens in Nova Scotia wurden bei einem MOVEit-Verstoß gestohlen

Daten von mindestens 100.000 Mitarbeitern im Gesundheitswesen von Nova Scotia wurden aufgrund der Sicherheitslücke in der MOVEit-Dateiübertragungsanwendung von Progress Software gestohlen, teilte die Provinz am Dienstag mit.

Zu den gestohlenen Daten gehören Sozialversicherungsnummern, Adressen und Bankdaten von Mitarbeitern von Nova Scotia Health, dem öffentlichen Dienst und dem IWK Health Centre, einem großen Kinderkrankenhaus und Traumazentrum.

Die Provinzen nutzen MOVEit zur Übermittlung von Lohn- und Gehaltsinformationen. Es hat begonnen, die Opfer zu benachrichtigen.

Die Clop/Cl0p-Ransomware-Bande teilte BleepingComputer mit, dass sie hinter den Datendiebstahl-Angriffen von MOVEit Transfer steckt. Für Infosec-Teams, die den Defender Threat Intelligence-Dienst von Microsoft ausführen, nennt Microsoft diese Gruppe Lace Tempest.

Zu den weiteren Opfern gehören laut BBC die BBC, British Airways, die britische Apothekenkette Boots und die irische Fluggesellschaft Aer Lingus.

Die SQL-Injection-Zero-Day-Schwachstelle wurde am 31. Mai von Progress Software bekannt gegeben. Forscher von Mandiant gehen davon aus, dass der erste Hinweis auf eine Ausnutzung am 27. Mai erfolgte, was zum Einsatz von Web-Shells und Datendiebstahl führte. In einigen Fällen, sagen die Forscher, seien Daten innerhalb von Minuten nach der Bereitstellung von Web-Shells gestohlen worden.

Die Schwachstelle ist als CVE-2023-34362 bekannt.

In den letzten zweieinhalb Jahren haben Hacker Lücken in Dateiübertragungsanwendungen ausgenutzt, darunter GoAnywhere MFT, IBMs Apera Faspex und Accelion FTA.

Viele Forscher sagen, dass IT-Abteilungen, die den Patch entweder nicht sofort installiert haben oder nicht betroffene Versionen der lokalen oder Cloud-Version von MOVEit verwendet haben, davon ausgehen sollten, dass ihre Systeme kompromittiert wurden.

Forscher von Huntress Labs sagten am 1. Juni, ein Scan des Webs mit der Shodan-Suchmaschine habe ergeben, dass im offenen Internet über 2.500 Server öffentlich verfügbar seien.

Huntress-Forscher haben einen Exploit erstellt, der es ihm ermöglichte, Shell-Zugriff mit Meterpreter zu erhalten, an Windows NT AUTHORITY\SYSTEM zu eskalieren und eine Cl0p-Ransomware-Payload zur Explosion zu bringen. „Das bedeutet, dass jeder nicht authentifizierte Angreifer einen Exploit auslösen könnte, der sofort Ransomware einsetzt oder andere böswillige Aktionen durchführt“, schlussfolgern die Forscher. „Schädlicher Code würde unter dem MOVEit-Dienstkontobenutzer moveitsvc ausgeführt, der sich in der lokalen Administratorengruppe befindet. Der Angreifer könnte den Virenschutz deaktivieren oder die Ausführung eines beliebigen anderen Codes erreichen.“

Forscher von CrowdStrike sagen, dass die von einem Angreifer erstellte Webshell ein vorhandenes Benutzerkonto mit der Berechtigungsstufe „30“ oder einen neuen, zufällig generierten Benutzernamen nutzt, um eine dauerhafte Sitzung innerhalb der MOVEit-Anwendung aufzubauen. Ihr Blog enthält Anweisungen, wie Infosec-Teams eine mögliche Kompromittierung untersuchen können.

Die gestohlenen Daten könnten für Social-Engineering-Angriffe oder Lösegeldforderungen verwendet werden, bemerkte Tim West, Leiter Threat Intelligence bei WithSecure. Er wies darauf hin, dass British Airways sagte, Zahlungsinformationen ihrer Mitarbeiter seien gestohlen worden, Unternehmen müssen jedoch damit rechnen, dass der Großteil der Daten erpresst und/oder auf eine Leak-Seite hochgeladen wird.

Unser erfahrenes Team aus Journalisten und Bloggern bietet Ihnen spannende, ausführliche Interviews, Videos und Inhalte, die sich an IT-Experten und Branchenmanager richten.