Mandiant identifiziert kriminelle Angreifer und die Art der Angriffe

Accellion, Inc., Anbieter der branchenweit ersten Enterprise Content Firewall, hat heute eine Erklärung zu den vorläufigen Erkenntnissen von Mandiant in Bezug auf die zuvor gemeldeten Cyberattacken auf das Legacy-FTA-Produkt von Accellion herausgegeben.

Mandiant, ein Unternehmensbereich von FireEye, Inc. hat UNC2546 als den kriminellen Hacker identifiziert, der hinter den Cyberattacken und dem Datendiebstahl im Zusammenhang mit dem Legacy-Produkt File Transfer Appliance (FTA) von Accellion steckt. Mehrere Accellion FTA-Kunden, die von UNC2546 angegriffen wurden, erhielten erpresserische E-Mails mit der Drohung, gestohlene Daten auf der .onion-Website "CL0P^_- LEAKS" zu veröffentlichen. Ein Teil der veröffentlichten Daten der Opfer scheint mit Hilfe der DEWMODE-Web-Shell gestohlen worden zu sein. Mandiant verfolgt die nachfolgenden Erpressungsaktivitäten unter einem separaten Bedrohungscluster, UNC2582.

Accellion empfiehlt FTA-Kunden ausdrücklich, auf kiteworks, Accellions Enterprise Content Firewall Plattform, zu migrieren.  Diese Exploits betreffen ausschließlich FTA-Kunden von Accellion: Weder das aktuelle Produkt kiteworks noch Accellion als Unternehmen waren diesen Angriffen ausgesetzt. Kiteworks basiert auf einer völlig anderen Code-Basis, verwendet eine hochmoderne Sicherheitsarchitektur und einen separaten, sicheren DevOps-Prozess. Die kiteworks-Plattform ist FedRAMP-autorisiert für moderate CUI (Controlled Unclassified Information) und erfüllt die Vorgaben von DSGVO, HIPAA, NIST 800-171, FIPS, SOC2, ISO 27001 und anderen Datenschutzbestimmungen und -standards.

Accellion hat alle bekannten FTA-Schwachstellen gepatcht, die von den Angreifern ausgenutzt wurden, und neue Überwachungs- und Warnfunktionen hinzugefügt, um Anomalien im Zusammenhang mit diesen Angriffsvektoren zu erkennen.

Accellion hat keinen Zugriff auf die Informationen, die Kunden über FTA übertragen. Nach dem Angriff hat das Unternehmen jedoch auf Wunsch vieler Kunden daran gearbeitet, ihre FTA-Protokolle zu überprüfen, um zu verstehen, ob und in welchem Ausmaß der Kunde betroffen gewesen sein könnte. Infolgedessen hat Accellion basierend auf den ersten forensischen Untersuchungen zwei verschiedene Gruppen von betroffenen FTA-Kunden identifiziert. Von den insgesamt etwa 300 FTA-Kunden waren weniger als 100 von dem Angriff betroffen. Innerhalb dieser Gruppe scheinen weniger als 25 einen signifikanten Datendiebstahl erlitten zu haben.

Accellion bietet allen betroffenen FTA-Kunden weiterhin Unterstützung an, um die Auswirkungen des Angriffs zu begrenzen.

Die folgenden CVEs wurden inzwischen für die Nachverfolgung der kürzlich gepatchten Accellion FTA-Sicherheitslücken reserviert:

  • CVE-2021-27101 – SQL-Injection über einen manipulierten Host-Header
  • CVE-2021-27102 – OS-Befehlsausführung über einen lokalen Webservice-Aufruf
  • CVE-2021-27103 – SSRF über eine manipulierte POST-Anfrage
  • CVE-2021-27104 – OS-Befehlsausführung über eine manipulierte POST-Anfrage

Die vorläufigen Ergebnisse von Mandiant zu dem Cyberangriff auf das Legacy-FTA-Produkt von Accellion finden Sie unter https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html. Der vollständige Bericht von Mandiant wird im Verlauf der nächsten Wochen zur Verfügung gestellt.

Nähere Informationen wie Accellion Unternehmen dabei hilft, ihre Kommunikation mit externen Partnern zu schützen, finden Sie auf der Accellion-Website Enterprise Content Firewall.

Über Accellion
Die Plattform von Accellion verhindert Datenschutzverletzungen und Compliance-Verstöße, die durch die Kommunikation mit Dritten und die damit verbundenen Risiken entstehen. Mit Accellion haben Unternehmen die vollständige Transparenz, Compliance und Kontrolle über den Austausch sensibler Inhalte über alle Kommunikationskanäle hinweg, einschließlich E-Mail, File-Sharing, Mobilgeräte, Business-Applikationen, Web-Portale, SFTP und automatisierte geschäftsübergreifende Workflows. Accellion-Lösungen schützen mehr als 25 Millionen Nutzer in mehr als 3.000 globalen Unternehmen und Regierungsbehörden weltweit, darunter Hartmann AG, KPMG, Kaiser Permanente, Latham & Watkins, AVL, Pfizer, Gemalto sowie das National Institute for Standards and Technology (NIST). Für weitere Informationen besuchen Sie bitte www.accellion.com/de oder rufen Sie uns an unter +49 711 252861-0. Folgen Sie Accellion auf LinkedIn, Twitter und dem Accellion Blog.

Pressekontakt
Ulrike Eder
Tel.: 0711-252861-39
E-Mail: ulrike.eder@accellion.com