Shell Opfer von Ransomware im Accellion-Fall

Der Hack des Cloud- und Filesharing-Anbieters Accellion hat jetzt auch für den Mineralöl-Konzern ernste Konsequenzen. Denn das Unternehmen wurde Opfer eines Ransomware-Angriffs.


Anzeige

Der Ancellion-Hack

Accellion, Inc. ist ein in Palo Alto, Kalifornien, ansässiges Unternehmen für private Cloud-Lösungen. Laut Hochglanz-Prospekten konzentiert sich das Unternehmen auf die sichere gemeinsame Nutzung von Dateien und die Zusammenarbeit. Benutzer können von jedem Gerät aus auf Unternehmensinhalte zugreifen, diese bearbeiten und gemeinsam nutzen. In den Hochglanz-Prospekten heißt es, dass dabei Compliance und Sicherheit gewährleistet werden. Die Accellion-Software unterstützt die Bereitstellung vor Ort oder außerhalb des Unternehmens, in einer öffentlichen, privaten oder hybriden Cloud oder einer FIPS 140-2-zertifizierten Umgebung.

Soweit die Theorie: Im Januar 2021 wurde das Produkt File Transfer Appliance (FTA) von einem Sicherheitsvorfall mit einer SQL-Injection-Schwachstelle betroffen, Als Folge dieses Vorfalls wurde eine Reihe von Kunden kompromittiert. Darunter befindet sich auch Allens (law firm), eine führende Anwaltskanzlei in Australien und das Rechnungsprüfungsamt des Bundesstaates Washington. Ich hatte bisher nicht im Blog über solche Vorfälle berichtet, obwohl ich einiges mitbekommen habe.

Shell-Ransomware-Befall

Der Großkonzern Shell ist wohl das jüngste Opfer einer Reihe von Cyberangriffen auf Benutzer des Legacy-Produkts Accellion File Transfer Appliance (FTA). Das geht z.B. aus folgender Meldung von Threadpost hervor.

Shell-Ransomware-Befall

Shell hat den Ransomware-Befall durch die Accellion File Transfer Appliance letzte Woche auf seiner Webseite bekannt gegeben:

THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL

Mar 16, 2021

Shell has been impacted by a data security incident involving Accellion's File Transfer Appliance. Shell uses this appliance to securely transfer large data files.

Upon learning of the incident, Shell addressed the vulnerabilities with its service provider and cyber security team, and started an investigation to better understand the nature and extent of the incident. There is no evidence of any impact to Shell's core IT systems as the file transfer service is isolated from the rest of Shell's digital infrastructure.

The ongoing investigation has shown that an unauthorized party gained access to various files during a limited window of time. Some contained personal data and others included data from Shell companies and some of their stakeholders. Shell is in contact with the impacted individuals and stakeholders and we are working with them to address possible risks. We have also been in contact with relevant regulators and authorities and will continue to do so as the investigation continues.

Cyber security and personal data privacy are important for Shell and we work continuously to improve our information risk management practices. We will continue to monitor our IT systems and improve our security. We regret the concern and inconvenience this may cause affected parties.

Nach Bekanntwerden des Vorfalls hat Shell die Schwachstellen mit seinem Dienstanbieter und dem Cybersicherheitsteam besprochen und eine Untersuchung eingeleitet, um Art und Umfang des Vorfalls besser zu verstehen. Es gibt keine Hinweise auf Auswirkungen auf die zentralen IT-Systeme von Shell, da der Dateiübertragungsdienst vom Rest der digitalen Infrastruktur von Shell isoliert ist.

Die laufende Untersuchung hat ergeben, dass sich ein Unbefugter während eines begrenzten Zeitfensters Zugang zu verschiedenen Dateien verschafft hat. Einige enthielten persönliche Daten, andere wiederum Daten von Shell Gesellschaften und einigen ihrer Stakeholder. Shell steht in Kontakt mit den betroffenen Personen und Stakeholdern und arbeitet mit ihnen zusammen, um mögliche Risiken zu beseitigen. Shell steht auch in Kontakt mit den zuständigen Aufsichtsbehörden und Behörden.

Shell hat sich nicht dazu geäußert, wie die Angreifer genau auf die Accellion-Implementierung zugegriffen haben. Es ist aber davon auszugehen, dass diese Infektion im Zusammenhang mit einer Reihe von Angriffen auf Schwachstellen in der Accellion FTA-Software steht. Bei dem 20 Jahre alten Legacy-Produkt, das von großen Unternehmen weltweit eingesetzt wird, gab es eine 0-day-Schwachstelle. Accellion  wurde Mitte Dezember auf eine Zero-Day-Sicherheitslücke in dem Produkt aufmerksam wurde und hat das durch einen Patch geschlossen.


Anzeige

Die erste Schwachstelle entpuppte sich jedoch nur als einer von mehreren Zero-Day-Fehlern in der Plattform, die Accellion erst entdeckte, nachdem es bis weit ins neue Jahr hinein von Cyber-Angreifern attackiert wurde, wie das Unternehmen zugab. Letztendlich wurden vier Sicherheitslücken (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104) gefunden, die bei den Angriffen ausgenutzt wurden.

Silicon.de berichtet in diesem Artikel, dass Accellion die Zahl der Opfer auf weniger als 100 schätzt, wobei weniger als 25 Betroffene einen einen erheblichen Datenverlust erlitten hätten. Accellion selbst wurde laut Berichten Anfang des Jahres von einer Cybercrime-Gruppe namens FIN11 attackiert. Aber auch die clop-Ransomware-Gang soll die Mitte-Dezember öffentlich gemachte Zero-Day-Lücke in FTA ausgenutzt haben, um mehrere Unternehmen zu kompromittieren. Bekannt sind unter anderem Angriffe auf den Sicherheitsanbieter Qualys, die Supermarktkette Kroger, die australische Börsenaufsicht ASIC, Singtel und die neuseeländische Zentralbank. Mal schauen, was da noch so ans Tageslicht kommt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.