Erpresserbande bricht Cybersecurity-Firma Qualys mit Accellion Exploit

Cyber Security News

Die Enterprise-Cloud-Sicherheitsfirma Qualys ist das jüngste Opfer einer langen Liste von Unternehmen, die eine Datenverletzung erlitten haben, nachdem Zero-Day-Schwachstellen in ihrem Accellion File Transfer Appliance (FTA)-Server ausgenutzt wurden, um sensible Geschäftsdokumente zu stehlen.

Als Beweis für den Zugriff auf die Daten haben die Cyberkriminellen, die hinter den jüngsten Hacks auf die Accellion FTA-Server stecken, Screenshots von Dateien der Kunden des Unternehmens auf einer öffentlich zugänglichen Datenleck-Website veröffentlicht, die von der CLOP-Ransomware-Bande betrieben wird.

Ben Carr, Chief Information Security Officer bei Qualys, bestätigte den Vorfall und sagte, dass bei einer detaillierten Untersuchung “ein unautorisierter Zugriff auf Dateien festgestellt wurde, die auf dem Accellion FTA-Server gehostet wurden”, der sich in einer DMZ-Umgebung (auch bekannt als demilitarisierte Zone) befindet, die vom Rest des internen Netzwerks abgetrennt ist.

“Basierend auf dieser Untersuchung haben wir sofort die begrenzte Anzahl von Kunden benachrichtigt, die von diesem unbefugten Zugriff betroffen waren”, fügte Carr hinzu. “Die Untersuchung hat bestätigt, dass der unbefugte Zugriff auf den FTA-Server beschränkt war und keine Auswirkungen auf die von der Qualys Cloud Platform gehosteten Dienste oder den Zugriff auf Kundendaten hatte.”

Letzten Monat hat das Mandiant Threat Intelligence Team von FireEye Details zu vier Zero-Day-Fehlern in der FTA-Anwendung veröffentlicht, die von Bedrohungsakteuren ausgenutzt wurden, um eine weitreichende Datendiebstahl- und Erpressungskampagne zu starten, bei der eine Web-Shell namens DEWMODE in Zielnetzwerken eingesetzt wurde, um sensible Daten zu exfiltrieren, gefolgt vom Versenden von Erpresser-E-Mails, um die Opfer zur Zahlung von Bitcoin-Lösegeld zu bewegen.

[Blocked Image: https://thehackernews.com/images/-N0_0EMgMeSk/YECsZm15i_I/AAAAAAAAB8o/LpcUVTcjzyw22UE7TTrWXNzJGVpnzURugCLcBGAsYHQ/s0/data.jpg]

Während zwei der Schwachstellen (CVE-2021-27101 und CVE-2021-27104) von Accellion am 20. Dezember 2020 behoben wurden, wurden die beiden anderen Schwachstellen (CVE-2021-27102 und CVE-2021-27103) Anfang dieses Jahres am 25. Januar identifiziert und behoben.

Qualys hat nicht gesagt, ob es im Zuge der Sicherheitsverletzung Erpressernachrichten erhalten hat, sagte aber, dass eine Untersuchung des Vorfalls im Gange ist.

“Die ausgenutzten Schwachstellen waren von kritischem Schweregrad, weil sie über unauthentifizierte Remote-Code-Ausführung ausgenutzt werden konnten”, sagte Mandiant in einer Sicherheitsbewertung der FTA-Software, die Anfang dieser Woche veröffentlicht wurde.

Darüber hinaus deckte die Quellcode-Analyse von Mandiant zwei weitere bisher unbekannte Sicherheitslücken in der FTA-Software auf, die beide in einem am 1. März veröffentlichten FTA-Patch (Version 9.12.444) behoben wurden. CVE-2021-27730: Eine Argument-Injection-Schwachstelle (CVSS-Score 6.6), die nur für authentifizierte Benutzer mit administrativen Rechten zugänglich ist, und CVE-2021-27731: Ein gespeicherter Cross-Site-Scripting-Fehler (CVSS-Score 8.1), der nur regulären authentifizierten Benutzern zugänglich ist

Die FireEye-Tochtergesellschaft verfolgt die Exploitation-Aktivitäten und das anschließende Erpressungsschema unter zwei separaten Bedrohungsclustern, die sie UNC2546 bzw. UNC2582 nennt, wobei Überschneidungen zwischen den beiden Gruppen und früheren Angriffen festgestellt wurden, die von einem finanziell motivierten Bedrohungsakteur mit dem Namen FIN11 durchgeführt wurden. Es ist jedoch noch unklar, ob und welche Verbindung die beiden Cluster mit den Betreibern der Clop-Ransomware haben.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com