{"id":251392,"date":"2021-03-24T02:40:58","date_gmt":"2021-03-24T01:40:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251392"},"modified":"2024-06-30T15:51:00","modified_gmt":"2024-06-30T13:51:00","slug":"shell-opfer-von-ransomware-im-accellion-fall","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/03\/24\/shell-opfer-von-ransomware-im-accellion-fall\/","title":{"rendered":"Shell Opfer von Ransomware im Accellion-Fall"},"content":{"rendered":"

Der Hack des Cloud- und Filesharing-Anbieters Accellion hat jetzt auch f\u00fcr den Mineral\u00f6l-Konzern ernste Konsequenzen. Denn das Unternehmen wurde Opfer eines Ransomware-Angriffs. <\/p>\n

<\/p>\n

Der Ancellion-Hack<\/h2>\n

\"\"Accellion, Inc. ist ein in Palo Alto, Kalifornien, ans\u00e4ssiges Unternehmen f\u00fcr private Cloud-L\u00f6sungen. Laut Hochglanz-Prospekten konzentiert sich das Unternehmen auf die sichere gemeinsame Nutzung von Dateien und die Zusammenarbeit. Benutzer k\u00f6nnen von jedem Ger\u00e4t aus auf Unternehmensinhalte zugreifen, diese bearbeiten und gemeinsam nutzen. In den Hochglanz-Prospekten hei\u00dft es, dass dabei Compliance und Sicherheit gew\u00e4hrleistet werden. Die Accellion-Software unterst\u00fctzt die Bereitstellung vor Ort oder au\u00dferhalb des Unternehmens, in einer \u00f6ffentlichen, privaten oder hybriden Cloud oder einer FIPS 140-2-zertifizierten Umgebung. <\/p>\n

Soweit die Theorie: Im Januar 2021 wurde das Produkt File Transfer Appliance (FTA) von einem Sicherheitsvorfall mit einer SQL-Injection-Schwachstelle betroffen, Als Folge dieses Vorfalls wurde eine Reihe von Kunden kompromittiert. Darunter befindet sich auch Allens (law firm), eine f\u00fchrende Anwaltskanzlei in Australien und das Rechnungspr\u00fcfungsamt des Bundesstaates Washington. Ich hatte bisher nicht im Blog \u00fcber solche Vorf\u00e4lle berichtet, obwohl ich einiges mitbekommen habe.<\/p>\n

Shell-Ransomware-Befall<\/h2>\n

Der Gro\u00dfkonzern Shell ist wohl das j\u00fcngste Opfer einer Reihe von Cyberangriffen auf Benutzer des Legacy-Produkts Accellion File Transfer Appliance (FTA). Das geht z.B. aus folgender Meldung von Threadpost<\/a> hervor.<\/p>\n

\"Shell-Ransomware-Befall\"<\/a><\/p>\n

Shell hat den Ransomware-Befall durch die Accellion File Transfer Appliance letzte Woche auf seiner Webseite<\/a> bekannt gegeben:<\/p>\n

\n

THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL<\/p>\n

Mar 16, 2021 <\/p>\n

Shell has been impacted by a data security incident involving Accellion's File Transfer Appliance. Shell uses this appliance to securely transfer large data files. <\/p>\n

Upon learning of the incident, Shell addressed the vulnerabilities with its service provider and cyber security team, and started an investigation to better understand the nature and extent of the incident. There is no evidence of any impact to Shell's core IT systems as the file transfer service is isolated from the rest of Shell's digital infrastructure. <\/p>\n

The ongoing investigation has shown that an unauthorized party gained access to various files during a limited window of time. Some contained personal data and others included data from Shell companies and some of their stakeholders. Shell is in contact with the impacted individuals and stakeholders and we are working with them to address possible risks. We have also been in contact with relevant regulators and authorities and will continue to do so as the investigation continues. <\/p>\n

Cyber security and personal data privacy are important for Shell and we work continuously to improve our information risk management practices. We will continue to monitor our IT systems and improve our security. We regret the concern and inconvenience this may cause affected parties.<\/p>\n<\/blockquote>\n

Nach Bekanntwerden des Vorfalls hat Shell die Schwachstellen mit seinem Dienstanbieter und dem Cybersicherheitsteam besprochen und eine Untersuchung eingeleitet, um Art und Umfang des Vorfalls besser zu verstehen. Es gibt keine Hinweise auf Auswirkungen auf die zentralen IT-Systeme von Shell, da der Datei\u00fcbertragungsdienst vom Rest der digitalen Infrastruktur von Shell isoliert ist.<\/p>\n

Die laufende Untersuchung hat ergeben, dass sich ein Unbefugter w\u00e4hrend eines begrenzten Zeitfensters Zugang zu verschiedenen Dateien verschafft hat. Einige enthielten pers\u00f6nliche Daten, andere wiederum Daten von Shell Gesellschaften und einigen ihrer Stakeholder. Shell steht in Kontakt mit den betroffenen Personen und Stakeholdern und arbeitet mit ihnen zusammen, um m\u00f6gliche Risiken zu beseitigen. Shell steht auch in Kontakt mit den zust\u00e4ndigen Aufsichtsbeh\u00f6rden und Beh\u00f6rden.<\/p>\n

Shell hat sich nicht dazu ge\u00e4u\u00dfert, wie die Angreifer genau auf die Accellion-Implementierung zugegriffen haben. Es ist aber davon auszugehen, dass diese Infektion im Zusammenhang mit einer Reihe von Angriffen auf Schwachstellen in der Accellion FTA-Software steht. Bei dem 20 Jahre alten Legacy-Produkt, das von gro\u00dfen Unternehmen weltweit eingesetzt wird, gab es eine 0-day-Schwachstelle. Accellion  wurde Mitte Dezember auf eine Zero-Day-Sicherheitsl\u00fccke in dem Produkt aufmerksam wurde und hat das durch einen Patch geschlossen. <\/p>\n

Die erste Schwachstelle entpuppte sich jedoch nur als einer von mehreren Zero-Day-Fehlern in der Plattform, die Accellion erst entdeckte, nachdem es bis weit ins neue Jahr hinein von Cyber-Angreifern attackiert wurde, wie das Unternehmen zugab. Letztendlich wurden vier Sicherheitsl\u00fccken (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104) gefunden, die bei den Angriffen ausgenutzt wurden. <\/p>\n

Silicon.de berichtet in diesem Artikel<\/a>, dass Accellion die Zahl der Opfer auf weniger als 100 sch\u00e4tzt, wobei weniger als 25 Betroffene einen einen erheblichen Datenverlust erlitten h\u00e4tten. Accellion selbst wurde laut Berichten Anfang des Jahres von einer Cybercrime-Gruppe namens FIN11 attackiert. Aber auch die clop-Ransomware-Gang soll die Mitte-Dezember \u00f6ffentlich gemachte Zero-Day-L\u00fccke in FTA ausgenutzt haben, um mehrere Unternehmen zu kompromittieren. Bekannt sind unter anderem Angriffe auf den Sicherheitsanbieter Qualys, die Supermarktkette Kroger, die australische B\u00f6rsenaufsicht ASIC, Singtel und die neuseel\u00e4ndische Zentralbank. Mal schauen, was da noch so ans Tageslicht kommt. <\/p>\n","protected":false},"excerpt":{"rendered":"

Der Hack des Cloud- und Filesharing-Anbieters Accellion hat jetzt auch f\u00fcr den Mineral\u00f6l-Konzern ernste Konsequenzen. Denn das Unternehmen wurde Opfer eines Ransomware-Angriffs.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-251392","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251392","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251392"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251392\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}