Erkennen verdächtiger Aktivitäten in der MOVEit-Umgebung und allgemeine Reaktionen auf Datenexfiltration

Juni 15, 2023 Sicherheit und Compliance, MOVEit

Angesichts der jüngsten Sicherheitslücken (CVE-2023-34362) und (CVE-2023-35036), die unsere Produkte MOVEit Transfer und MOVEit Cloud-Produkte betreffen, möchten wir unsere Kunden mit Informationen versorgen, die ihnen helfen, schnell auf potenzielle Risiken der Sicherheitslücken in MOVEit Transfer und MOVEIt Cloud zu reagieren. Um diejenigen, die direkt oder indirekt betroffen sind, besser auszustatten, haben wir auch allgemeine Empfehlungen von führenden Branchenexperten und unseren Partnern in den Sicherheits- und Threat Intelligence-Communities aufgenommen, die Ihnen helfen werden, mögliche Datenexfiltrationen besser zu erkennen und darauf zu reagieren. Beachten Sie, dass wir diesen Blogbeitrag nur zu Informationszwecken zur Verfügung stellen. Er ist nicht als Rechtsberatung zu verstehen und Progress empfiehlt Ihnen, Ihren eigenen Rechtsbeistand zu konsultieren.

Es ist äußerst wichtig, dass unsere MOVEit Transfer- und MOVEit Cloud-Kunden die empfohlenen Anleitungen in unserem Security Center lesen und befolgen, sofern sie dies nicht bereits getan haben. Kunden, die Microsoft Defender for Endpoint und/oder die Open-Source-Plattform Velociraptor von Rapid7 für die Überwachung und Forensik von Endgeräten nutzen, können untenstehende Suchabfragen durchführen, um Aktivitäten im Zusammenhang mit diesem Exploit zu erkennen.

Sobald weitere Informationen aus der Sicherheits-Community geteilt werden, werden wir weiterhin Updates bereitstellen.

Erkennen von Aktivitäten

Unseren MOVEit Transfer-Kunden empfehlen wir dringend, mit ihren Sicherheitsanbietern zusammenzuarbeiten, um die im MOVEit Transfer Knowledge Base-Artikel aufgelisteten Kompromittierungsindikatoren (Indicators of Compromise, IoCs) zu erkennen. Sie können auch den MOVEit Containment and Hardening Guide von Mandiant lesen.

Um Unternehmen dabei zu helfen, die Vorläufer eines typischen Datenexfiltrationsangriffs zu erkennen, gibt es verschiedene Indikatoren, auf die Ihre Sicherheits- und/oder IT-Teams achten sollten, z. B.: Durchsuchen der DNS-Protokolle, Durchsuchen der Endpunkte nach installierter Software und Prozesstelemetrie, Bedrohungsanalyse nach bösartigen IP-Adressen und vieles mehr. Sie können den Artikel Netzwerkanalyse für Datenexfiltration des InfoSec-Instituts lesen, um weitere Informationen zu erhalten.

Erweiterte Jagdmöglichkeiten für Microsoft Defender- und Velociraptor-Kunden

Mit der folgenden Beispielabfrage können Sie nach Ereignissen einer Woche suchen. Wenn Sie Rohdaten von bis zu 30 Tagen untersuchen möchten, um Ereignisse in Ihrem Netzwerk zu prüfen und potenzielle PhantomShell-bezogene Indikatoren (Microsoft-Bezeichnung für die mit der MOVEit-Transfer-Exploitation verbundenen Aktivitäten) für mehr als eine Woche zu finden, gehen Sie zur Seite Erweiterte Suche > Registerkarte Abfrage und wählen Sie das Dropdown-Menü Kalender, um Ihre Suche für die letzten 30 Tage zu aktualisieren. Um mögliche Exploit-Aktivitäten zu lokalisieren, führen Sie die folgenden Abfragen in Ihrem Microsoft 365 Security Center aus.

  • Suchen Sie nach MOVEit Transfer-Installationen: Bestimmen Sie, ob MOVEit Transfer installiert ist oder nicht. Abfrage ausführen
  • Finde die Aktivität "Lace Tempest": Suchen Sie nach der bösartigen Web-Shell, die für die Lace Tempest-Aktivität spezifisch ist, die unter dem Prozess w3wp.exe ausgeführt wird.
  • Suchen Sie nach generischer Web-Shell-Erstellung: Suchen Sie nach der generischen Web-Shell-Erstellung nach der Veröffentlichung des Exploits. Abfrage ausführen
  • Netzwerkverbindungen suchen: Suchen Sie nach den Netzwerkindikatoren für eine Kompromittierung (wie in der Dokumentation der MOVEit Transfer-Wissensdatenbank aufgeführt) Abfrage ausführen

Allgemeine Reaktion auf Datenexfiltration

Wenn Sie glauben, dass Sie Opfer einer Cyber-Kriminalität geworden sind, beachten Sie bitte die unten aufgeführten Maßnahmen. Wir empfehlen Ihnen auch, Ihre Spam-Filter auf eingehende Nachrichten von potenziellen "Bedrohungsakteuren" zu überprüfen, damit Sie keine wichtigen Mitteilungen verpassen. Bitte beachten Sie, dass dies keine rechtliche oder behördliche Beratung darstellt und keine erschöpfende Liste oder Anleitung ist. Vielmehr handelt es sich um Vorschläge, die auf der Beratung durch vertrauenswürdige Cybersicherheitsexperten beruhen. Alle aufgeführten Vorschläge unterliegen der weiteren Beratung durch Ihren Rechtsbeistand und/oder andere externe Berater:

  • Tauschen Sie sich mit Experten aus. Die Erfahrung erfahrener Cybersicherheitsanbieter und Rechtsberater kann von entscheidender Bedeutung sein, und dieser Artikel ist nicht dazu gedacht, rechtliche oder regulatorische Ratschläge zu geben.
  • Befolgen Sie die Benachrichtigungsvorschriften, die in Ihrem Plan für die Reaktion auf Cybervorfälle, Business Continuity (BC), Disaster Recovery (DR) und Kommunikation usw. festgelegt sind, um internen und externen Teams und Interessengruppen mitzuteilen, welche Schritte unternommen werden können, um Sie bei der Eindämmung, Reaktion und Wiederherstellung nach einem Vorfall zu unterstützen. Vergewissern Sie sich, dass alle Beteiligten über die dargelegten Schritte informiert sind und wissen, wo sie bei Bedarf Kopien erhalten können. Wenn Ihr Unternehmen noch keinen Krisenplan erstellt hat, gibt es eine Fülle kostenloser Ressourcen, wie z. B. " Responding to Cyber Incidents" der National Cybersecurity Alliance.
  • Tauschen Sie sich mit externen Incident-Response- und Forensik-Unternehmen aus, um Bedenken hinsichtlich einer möglichen Datenexfiltration zu äußern. Es empfiehlt sich, eine Beziehung und einen Vertragsvorbehalt mit dieser Art von Unternehmen zu haben, bevor Sie einen dringenden Bedarf haben dafür.
  • Legen Sie fest, ob und wie Ihre örtliche Strafverfolgungsbehörde für Internetkriminalität auf dem Laufenden gehalten werden soll, wenn Sie glauben, Opfer einer Online-Kriminalität geworden zu sein, und wie Sie von Ihrem Rechtsbeistand beraten werden.
    • Für den US-Privatsektor und andere nicht-bundesstaatliche Eigentümer und Betreiber kritischer Infrastrukturen können das FBI, die CISA oder ähnliche Organisationen Unterstützung leisten und ihre Dienste zur Reaktion auf Vorfälle anbieten; Erfahren Sie hier mehr.
    • Bei EU-bezogenen Anliegen können Sie Cyberkriminalität online über Europol melden, wie von Ihrem Rechtsbeistand empfohlen.

Zusätzliche Sicherheitsmaßnahmen

Um Ihr Unternehmen besser auf eine mögliche Datenerpressung gegen Sie oder Ihre Kunden vorzubereiten, empfehlen wir Ihnen, die nachstehenden Hinweise zu lesen, die wir von vertrauenswürdigen Drittanbietern erhalten haben, und bestimmte Maßnahmen zu ergreifen, die am besten für Ihre spezifischen Unternehmensanforderungen geeignet sind. Bitte beachten Sie, dass es sich hierbei nicht um Maßnahmen zur Eindämmung oder Vorbeugung der oben genannten Schwachstelle handelt, sondern um Vorsichtsmaßnahmen, die Ihnen helfen sollen, das Risiko zu verringern und eine schnellere Wiederherstellung zu ermöglichen. Auch hier handelt es sich nicht um rechtliche oder regulatorische Ratschläge und nicht um eine vollständige Liste, sondern um Vorschläge, die auf Ratschlägen beruhen, die Progress von vertrauenswürdigen Cybersicherheitsunternehmen erhalten hat. Alle aufgeführten Vorschläge unterliegen der weiteren Beratung durch Ihren Rechtsbeistand und andere externe Berater.

  • Überprüfen Sie Ihre Cyber-Versicherungspolice mit Ihren jeweiligen Rechts- und Finanzteams, um zu beurteilen, ob sie eine Deckung für exfiltrierte Daten und Erpressung enthält. Erwägen Sie, sie zu Ihrer Richtlinie hinzuzufügen, wenn sie mit den Zielen und Prioritäten Ihrer Organisation übereinstimmt.
  • Informieren Sie Ihre Mitarbeiter darüber, wie sie Phishing-E-Mails erkennen können. Es ist wichtig, dass alle Ihre Mitarbeiter wissen, wo sie ihre Sicherheitsbedenken melden können und wie sie mutmaßliche Phishing-E-Mails an ihre Sicherheits- und/oder IT-Teams senden können. Ressourcen zur Sensibilisierung für Sicherheit

Um sie mit Ihren Mitarbeitern zu teilen, besuchen Sie SANS.org Kostenlose Ressourcen und StaySafeOnline.org Ressourcen und Leitfäden. Um über Neuigkeiten zu dieser Situation auf dem Laufenden zu bleiben, empfehlen wir Ihnen, unseren Blog zu abonnieren.

Referenzen und zusätzliche Ressourcen

CISA Cybersecurity Advisory: #CL0P Ransomware-Bande nutzt MOVEit-Schwachstelle CVE-2023-34362 aus
Read next Wir arbeiten daran, die Sicherheit von MOVEit Transfer-Produkten durch Partnerschaft und Transparenz zu verbessern