Shadow

Clop Ransomware-Bande verletzt das Cybersicherheitsunternehmen Qualys mithilfe von Accelion-Exploits

Das Cyber-Sicherheitsunternehmen Qualys ist jetzt das jüngste Opfer der langen Liste von Unternehmen, die nach einem Exploit zu einer Zero-Day-Sicherheitslücke auf ihrem Accellion File Transfer Appliance-Server einen Datenverstoß erlitten haben.

Diese Angriffswelle begann im Dezember letzten Jahres. Zu den früheren Opfern, die vom Clop erpresst wurden, gehören Transport for NSW, Singtel, Bombadier, Geodatenspezialist, Fugro, die Anwaltskanzlei Jones Day, das Wissenschafts- und Technologieunternehmen Danaher und das technische Dienstleistungsunternehmen ABS Group. Die Angriffe führten zu einer sensiblen Offenlegung von Geschäftsdokumenten.

Als Beweis haben die Bedrohungsakteure hinter diesem Hack den Screenshot der Dateien der Kunden des Unternehmens auf einer Website geteilt, die von der CLOP Ransomware Gang betrieben wird. Das Leck umfasst Bestellungen, Rechnungen, Steuerdokumente und Scanberichte.

Laut Valery Marchive von LegMagIT hatte Qualys das FTA-Gerät in seinem Netzwerk. Es befand sich unter fts-na.qualys.com und die vom Server verwendete IP-Adresse wird Qualys zugewiesen.

Dem Bericht der Mandiant-Staaten zufolge haben die Opfer in der Vergangenheit Lösegeldscheine erhalten. Es ist jedoch noch nicht bekannt, ob der Clop Lösegeldscheine an Qualys gesendet hat.

Ben Carr, Chief Information Security Officer von Qualys, bestätigte dies und sagte, eine detaillierte Untersuchung habe „den unbefugten Zugriff auf Dateien identifiziert, die auf dem Accellion FTA-Server gehostet werden“, der sich in einer DMZ-Umgebung befindet, die vom Rest des Internet-Netzwerks getrennt war.

Carr fügte hinzu: „Aufgrund dieser Untersuchung haben wir sofort die begrenzte Anzahl von Kunden benachrichtigt, die von diesem nicht autorisierten Zugriff betroffen sind. Die Untersuchung bestätigte, dass der nicht autorisierte Zugriff auf den FTA-Server beschränkt war und keine Auswirkungen auf die bereitgestellten Dienste oder den Zugriff auf von gehostete Kundendaten hatte die Qualys Cloud Platform. „

Die betroffenen Accellion FTA-Server wurden nun vom Unternehmen heruntergefahren, und nun haben die Qualys beschlossen, für Support-bezogene Dateiübertragungen auf einige alternative Anwendungen umzusteigen.