Vergangene Woche kam ans Licht, dass Angreifer eine bislang unbekannte Schwachstelle in MOVEit Transfer ausnutzen, um an vertrauliche Daten zu gelangen. In einem neuen Blogbeitrag schildert Mandiant nun, wie sich die Bedrohungsakteure die Zero-Day-Schwachstelle zu Nutze machen.

Mandiant führt die Aktivitäten im Zusammenhang mit der MOVEit-Schwachstelle auf UNC4857 zurück. Das neu geschaffene Bedrohungscluster hätte bereits Unternehmen in einer Vielzahl von Branchen in Kanada, Indien und den USA angegriffen. Mandiant will zudem Hinweise darauf gefunden haben, dass unter anderem Unternehmen in Deutschland und Italien von UNC4857 betroffen waren.

Die Motive von UNC4857 seien derzeit nicht bekannt. Die Security-Experten merken jedoch an, dass die scheinbar opportunistische Art der Angriffe und des anschließenden Datendiebstahls auf Erpresser schließen lasse. Das bedeute, dass Opfer in den kommenden Wochen möglicherweise Erpressungs-E-Mails erhalten könnten. Mandiant weist dabei auf nennenswerte, aber allgemeine Ähnlichkeiten zwischen UNC4857 und FIN11 hin. Derzeit verfüge das Unternehmen allerdings nicht über ausreichende Beweise, um festzustellen, ob eine Beziehung zwischen UNC4857 und FIN11 bestehe.

John Hultquist, Chief Analyst, Mandiant Intelligence bei Google Cloud, zur Bedeutung dieses Vorfalls: "Wir haben bereits bei mehreren Kunden aktive Zugriffe festgestellt und erwarten in naher Zukunft viele weitere Angriffe. Unternehmen sollten schnellstmöglich patchen. Wenn sie eine mit dem Internet verbundene MOVEit-Instanz nutzen, sollten sie forensische Untersuchungen durchführen, um festzustellen, ob die Instanz kompromittiert wurde. Wird vermutet, dass die Schwachstelle ausgenutzt wurde, müssen Unternehmen sich auf eine mögliche Veröffentlichung ihrer Daten einstellen."