Cl0p-Ransomware-Bande nutzt SQL-Injektionsfehler bei der MOVEit-Übertragung aus
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das Federal Bureau of Investigation (FBI) haben eine gemeinsame Mitteilung herausgegeben, in der sie auf die Ausnutzung einer kritischen Schwachstelle in der MOVEit Transfer-Anwendung von Progress Software durch die berüchtigte Cl0p-Ransomware-Bande, auch bekannt als TA505, hinweisen. Die Cyberkriminellen nutzen eine SQL-Injection-Schwachstelle in Progress Softwares Managed File Transfer (MFT)-Lösung MOVEit Transfer aus, um ihre bösartigen Angriffe zu starten.
Das Advisory gibt einen Einblick in die Ausnutzung einer kritischen Schwachstelle in der MOVEit Transfer-Anwendung von Progress Software durch die Cl0p Ransomware-Gang, die eine SQL-Injection-Schwachstelle ausnutzt, um internetbasierte Webanwendungen von MOVEit Transfer anzugreifen. Die Cl0p Ransomware-Gang hat die Cybersecurity-Community alarmiert und damit gedroht, die gestohlenen Daten öffentlich zu veröffentlichen, wenn die betroffenen Unternehmen ihren Forderungen nicht bis zum 14. Juni 2023 nachkommen.
Microsoft, das unter dem Codenamen Lace Tempest (auch bekannt als Storm-0950) operiert, hat die Cyber-Aktivitäten der Cl0p Ransomware Gang aktiv überwacht. Sie haben bestätigt, dass diese Gruppe für die Ausnutzung einer kritischen Sicherheitsschwachstelle in PaperCut-Servern verantwortlich ist. Seit mehr als vier Jahren, beginnend im Februar 2019, ist diese kriminelle Organisation an illegalen Operationen beteiligt, wie z. B. der Durchführung von Ransomware-as-a-Service-Kampagnen und der Vermittlung von Erstzugängen. Ihr Modus Operandi beinhaltet die Ausnutzung von Schwachstellen wie CVE-2023-34362, einer SQL-Injection-Schwachstelle, die in MOVEit Transfer gefunden wurde, um die Kontrolle über Internetanwendungen zu erlangen und Ransomware-Angriffe durchzuführen. Durch die Ausnutzung dieser Schwachstelle sind sie in der Lage, Remote-Code auszuführen, was zum Einsatz von Ransomware oder anderen zerstörerischen Nutzdaten führen kann.
In einer von Kroll durchgeführten Analyse wurde aufgedeckt, dass die Cl0p-Bedrohungsakteure seit April 2022 mit einer bestimmten Schwachstelle experimentiert haben, wobei erste Tests bereits im Juli 2021 entdeckt wurden. Die Beobachtungen von Censys deuten auch darauf hin, dass die Zahl der exponierten MOVEit Transfer-Instanzen von über 3.000 Hosts auf etwas mehr als 2.600 gesunken ist.
Kevin Beaumont hat sich zu dieser Situation geäußert und festgestellt, dass die Cl0p-Ransomware-Gruppe nun schon zum dritten Mal innerhalb von drei Jahren Zero-Day-Schwachstellen in Webanwendungen ausnutzt. Ihr spezieller Fokus liegt auf Produkten, die ihre Sicherheitsfunktionen besonders hervorheben, was die sich weiterentwickelnden Taktiken dieser Bedrohungsakteure noch unterstreicht.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.