Die cl0p Ransomware-Bande hat mit ihrem Hack des MOVEit-Dateiübertragungsprotokolls eine neue Reihe von Opfern gefordert. Sie behauptete am Dienstag, unter anderem Daten von der University of California, Los Angeles, Siemens Energy , Abbvie Inc und Schneider Electric gestohlen zu haben.

Laut Brett Callow, dessen Cybersicherheitsunternehmen Emsisoft Unternehmen dabei hilft, auf digitale Erpressungsversuche zu reagieren, ist die Gesamtzahl der jüngsten Opfer des Online-Erpresserrings auf 121 Organisationen gestiegen. Er sagte, dass mindestens 15 Millionen Menschen betroffen sind.

Hier ist, was über cl0p und seinen jüngsten Amoklauf bekannt ist.

Wer sind die Hacker?

Die Identität und der Standort von Cl0p sind nicht öffentlich bekannt. Sicherheitsforscher vermuten jedoch, dass die Gruppe mit Russland in Verbindung steht oder russischsprachig ist und ihr Name eine Anspielung auf das russische Wort für "Bug" sein könnte. Im Jahr 2021 gaben die ukrainischen Behörden die Verhaftung von sechs Personen bekannt, die mit cl0p in Verbindung stehen, aber es ist nicht klar, ob es sich dabei um Kernmitglieder der Gruppe handelt, die weiterhin Opfer hackt.

Cl0p ist eine Ransomware-as-a-Service-Bande, d.h. sie vermietet ihre Software und Infrastruktur an andere Cyberkriminelle und erhält dafür einen Anteil an den Erlösen.

Die Gruppe leistete Pionierarbeit bei der Praxis der doppelten Erpressung, bei der Cyberkriminelle Dateien als Geiseln nehmen, indem sie sie verschlüsseln - und dann damit drohen, sie online zu veröffentlichen, wenn keine Zahlung erfolgt. Das japanische Cybersicherheitsunternehmen TrendMicro beschrieb cl0p als "Trendsetter für seine ständig wechselnden Taktiken".

Die Hacker - die ihren Namen manchmal "CLOP" buchstabieren - haben nicht sofort auf eine E-Mail geantwortet, in der sie um einen Kommentar gebeten haben.

Wie haben sie so viele Opfer angehäuft?

Cl0p war in der Lage, eine bisher unentdeckte Schwachstelle in einem beliebten Dateiübertragungsprogramm - MOVEit Transfer - auszunutzen, um Daten von einer Vielzahl von Organisationen zu stehlen, von denen einige wiederum Daten von noch mehr Organisationen verarbeitet haben.

Das Plündern von Dateiübertragungsprotokollen wird immer beliebter, da Hacker von der Verschlüsselung von Daten dazu übergehen, Dateien einfach zu stehlen und damit zu drohen, sie nur dann freizugeben, wenn ein Lösegeld gezahlt wird.

Wenn ein Opfer nicht zahlt, veröffentlicht cl0p die Identität des Opfers auf seiner Darknet-Seite - eine Taktik, die in den letzten Wochen immer wieder angewendet wurde.

Wer ist betroffen?

Zu den öffentlich gemeldeten Opfern gehören der Unterhaltungskonzern Sony, die großen Wirtschaftsprüfungsgesellschaften EY und PWC, der Energieriese Shell PLC und der führende US-Pensionsfonds Calpers.

Auch Regierungsstellen - darunter das US-Energieministerium und die britische Telekom-Regulierungsbehörde - sind betroffen.

Viele der Organisationen betonen, dass das Ziel des Hacks der File Transfer Service ist und nicht ihre Systeme. Aber da ihre Daten dennoch gestohlen wurden, ist das nur ein schwacher Trost für die Bürger, Mitarbeiter, Kunden und Geschäftspartner, deren Daten kompromittiert wurden.

Brett Callow von Emsisoft hat die Zahl von 15 Millionen betroffenen Personen auf der Grundlage der öffentlichen Enthüllungen ermittelt. Aber er sagte, die wahre Zahl sei "wahrscheinlich viel höher - und möglicherweise viel, viel höher".

Was wird unternommen, um sie zu stoppen?

Die weitreichende und oft indirekte Natur der Kompromittierungen hat eine Lawine von Arbeit für Strafverfolgungsbehörden und Cybersicherheitsexperten ausgelöst.

"Alle sind überwältigt", sagte Charles Carmakal, Chief Technology Officer bei Mandiant, das kürzlich von Alphabet Inc. übernommen wurde. In einer Nachricht an LinkedIn sagte er, dass selbst die Hacker mit der Arbeitsbelastung zu kämpfen hätten.

"Die letzten Wochen waren intensiv", sagte er.

Das FBI teilte mit, dass es "Kenntnis von der jüngsten Ausnutzung einer MOVEit-Schwachstelle durch böswillige Ransomware-Akteure hat und diese untersucht." Anfang dieses Monats hat die US-Regierung eine Belohnung von 10 Millionen Dollar für Informationen ausgesetzt, die cl0p - oder andere Hackergruppen, die es auf kritische amerikanische Infrastrukturen abgesehen haben - mit ausländischen Regierungen in Verbindung bringen. (Bericht von Raphael Satter; weitere Berichte von Christopher Bing in Washington und James Pearson in London; Redaktion: Cynthia Osterman)