Die Hackerbande Clop treibt auch in der Schweiz ihr Unwesen. Tausende von Unternehmen sind in den vergangenen Wochen Opfer einer Ransomware Attacke geworden. Der Journalist Daniel Schurter von Watson diskutiert gemeinsam mit IT Sicherheitsexperte Marc Ruef die jüngsten Ereignisse im Online-Artikel und warnt vor verehrenden Folgen.

Das NCSC hat ja schon vor ein paar Tagen wegen der Sicherheitslücke gewarnt. Wie beurteilst du das Schadenpotenzial und die aktuelle Situation?

Die Schwachstelle hat einen eher unüblichen Lebenszyklus hinter sich. Als der Hersteller sein offizielles Advisory herausgegeben hat, wurde die Schwachstelle zwar als sehr kritisch eingestuft, aber keine Details zur Beschaffenheit genannt. Erst später hat sich herausgestellt, dass es sich um eine SQL-Injection handelt. Diese sind in der Regel verhältnismässig einfach auszunutzen. Viele Leute hatten die Schwachstelle trotz der hohen Einstufung nicht auf dem Radar, da es mehrere Tage dauerte, bis eine CVE vergeben wurde. Hierbei handelt es sich um einen offiziellen Identifier, der der sich als Branchenstandard etablieren konnte. Viele Schwachstellen werden durch Unternehmen erst dann ernst genommen, wenn sie eine offizielle CVE zugewiesen bekommen haben.

Rechnest du mit vielen betroffenen Unternehmen hierzulande?

Dass die Schwachstelle schon aktiv ausgenutzt wird, war früh klar. Derlei angriffe kennen in der Regel keine geografischen Einschränkungen. Die Schweiz wird nicht verschont bleiben.

Nun hat Clop ein für Ransomware-Banden ziemlich spezielles Vorgehen gewählt und auf seiner DLS eine allgemeine Drohung veröffentlicht. Wie beurteilst du dies?

Verschiedene Hersteller und Sicherheitsdienstleister berichten von Angriffen, die auf Clop zurückzuführen sind. Unter anderem auch Microsoft, die sich in einem Fachbeitrag dazu geäussert haben.

Wir sehen momentan, dass auch andere Akteure um das Ausnutzen der Schwachstelle bemüht sind. Hier wird momentan viel Forschung zur Entwicklung eines guten Exploits umgesetzt. Mit einer breitflächigen Ausnutzung muss in den kommenden Tagen gerechnet werden. Die betroffenen Firmen können es sich also nicht leisten zuzuwarten, bis sie die Schwachstelle beheben.

Links

• https://www.watson.ch
• https://www.watson.ch/digital/schweiz/737142912-gefaehrliche-hackerbande-clop-droht-mit-daten-gau-schweizer-betroffen

Tags