Qualys: Sicherheitslücke auf 3rd-Party-Anbieter beschränkt, aber Angreifer versuchen, die Gefährdung schlimmer erscheinen zu lassen

Cyber Security News

Ein Qualys-Stand, aufgebaut auf einer Messe. (Thomas Springer, CC0, via Wikimedia Commons)

Das Cloud-Sicherheitsunternehmen Qualys teilte mit, dass Folgeuntersuchungen bestätigt haben, dass die Datenpanne, die es Ende 2020 und Anfang 2021 erlitten hat, auf Kundendaten beschränkt war, die auf dem Dateiübertragungssystem des Drittanbieters Accellion gespeichert waren. Das Unternehmen teilte jedoch auch mit, dass die Angreifer, die hinter dem Vorfall stehen, eine Taktik anwenden, um den freigelegten Datensatz umfangreicher aussehen zu lassen, als er tatsächlich ist.

In einem detaillierten Update, das am 2. April auf der Qualys-Website veröffentlicht wurde, sagte CISO Ben Carr, dass ein unabhängiges, drittes forensisches Unternehmen die ursprüngliche Feststellung des Unternehmens bestätigt hat, dass der Angriff nicht vom File-Transfer-Appliance-Server von Accellion auf das größere Unternehmensnetzwerk von Qualys übergesprungen ist.

“Die forensische Firma kam zu dem Schluss, dass der Bedrohungsakteur nicht vom Accellion FTA-Server in eine Qualys-Umgebung eingedrungen ist und dass die bestehenden Sicherheitsregeln von Qualys einen solchen Zugriff zwischen dem Accellion FTA-Server und der Unternehmens- und Produktionsumgebung von Qualys nicht zugelassen hätten”, schrieb Carr.

Während die Clop-Ransomware-Gruppe weiterhin gestohlene Daten von Qualys schrittweise online veröffentlicht, sagte Carr, dass alles, was bisher veröffentlicht wurde, aus dem ursprünglichen Pool der betroffenen Informationen stammt, die von den Incident Respondern identifiziert wurden. Er sagte auch, dass das Unternehmen nach Untersuchungen mit Accellion und Mandiant zuversichtlich ist, dass sie eine vollständige Liste der Kunden mit Dateien auf dem Accellion-Server zum Zeitpunkt des Vorfalls haben.

“Bisher haben wir keine Hinweise darauf gesehen, dass der Bedrohungsakteur zusätzliche Daten veröffentlicht hat”, schrieb Carr. “Sollte sich das ändern, werden wir weitere Nachforschungen anstellen und uns an die betroffenen Kunden wenden.”

Das Unternehmen scheint jedoch noch einige Aspekte des Vorfalls zu untersuchen. Zum Beispiel haben die Hacker eine Reihe von E-Mail-Adressen gepostet, die “in vielen Fällen” vom FTA-Server genommen worden zu sein scheinen, obwohl zum Zeitpunkt des Angriffs keine entsprechende Datei vorhanden war.

Qualys glaubt, dass die Gruppe in einigen Fällen versucht haben könnte, ihre Zahlen aufzupolstern, um den Anschein zu erwecken, dass sie mehr Daten gestohlen haben, als es tatsächlich der Fall war, indem sie Dateinamen von einem Kunden mit E-Mail-Adressen von einem anderen kombiniert haben.

“Nach der Analyse und den Erkenntnissen unserer externen forensischen Experten scheint dies eine neue Taktik dieser Bedrohungsgruppe zu sein, über die wir die breitere Sicherheitsgemeinschaft informieren wollten”, schrieb Carr. “Wir haben auch ein zusätzliches forensisches Unternehmen beauftragt, das die Daten gründlich auf Anzeichen von Informationen über einzelne Benutzer untersucht hat, die über geschäftliche Kontaktinformationen hinausgehen, wie Namen, Benutzernamen, Firmen-E-Mail-Adressen, Berufsbezeichnungen und Büroadressen. Ihre Analyse ergab keine Hinweise auf zusätzliche Informationen über einzelne Benutzer auf dem Server.”

Während andere Opfer des Hacks von Vorfällen berichtet haben, bei denen die Hacker direkt E-Mails an Kunden verschickt haben, sind Qualys keine Beweise bekannt, dass dies bei ihren Kunden geschehen ist.

Qualys ist nur eines von vielen Unternehmen, die von der Kompromittierung von Accellion betroffen sind. Zu den Opfern gehören der Ölgigant Shell, die große Anwaltskanzlei Jones Day, die Flagstar Bank mit Sitz in Michigan, die nationale Lebensmittelkette Kroger und zahlreiche Regierungs- und Bildungsorganisationen. Das Update von Qualys kommt eine Woche nach dem Rücktritt des CEO und Vorstandsvorsitzenden Philippe Courtot, der gesundheitliche Gründe im Zusammenhang mit COVID-19 angab.

Aus der Ausgabe vom 01. April 2010 der SC Media

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com