← Alle Schadenbeispiele

Clop und MOVEit: Zero-Day-Angriff traf 2.500 Organisationen weltweit

von freeze4me.com · 2026-03-23
Clop MOVEit Zero-Day Datendiebstahl SQL Injection Ransomware Supply Chain

Die Clop-Ransomware-Gruppe nutzte eine Zero-Day-Lücke in MOVEit Transfer aus und stahl Daten von über 2.500 Organisationen – ohne eine einzige Datei zu verschlüsseln.

Clop und MOVEit: Zero-Day-Angriff traf 2.500 Organisationen weltweit

Im Mai 2023 startete die berüchtigte Clop-Ransomware-Gruppe einen der größten koordinierten Cyberangriffe der Geschichte. Ihr Ziel: MOVEit Transfer, eine weitverbreitete Software für den sicheren Dateitransfer. Die Angreifer nutzten eine bis dahin unbekannte Zero-Day-Schwachstelle, um sich Zugang zu Tausenden von Organisationen zu verschaffen. Das Besondere: Es wurde keine einzige Datei verschlüsselt. Stattdessen stahlen die Angreifer massive Datenmengen und erpressten die Opfer mit der Drohung, diese zu veröffentlichen.

Der Vorfall

Ende Mai 2023 entdeckten Sicherheitsforscher ungewöhnliche Aktivitäten auf Servern, die MOVEit Transfer nutzten – eine Software des Herstellers Progress Software, die von Unternehmen und Behörden weltweit für den sicheren Austausch sensibler Dateien eingesetzt wird. Am 31. Mai veröffentlichte Progress Software einen Sicherheitshinweis und ein Notfall-Patch für die Schwachstelle CVE-2023-34362.

Doch es war bereits zu spät. Die Clop-Gruppe hatte die Schwachstelle schon seit mindestens dem 27. Mai aktiv ausgenutzt – und wie sich später herausstellte, die Lücke bereits seit Juli 2021 getestet. Die Angreifer hatten eine sogenannte Web-Shell mit dem Namen „LEMURLOOT" auf den kompromittierten Servern platziert, die ihnen dauerhaften Zugriff ermöglichte.

Die Liste der Opfer liest sich wie ein Who's Who der internationalen Wirtschaft und öffentlichen Verwaltung: die BBC, British Airways, Shell, die US-Energiebehörde, Ernst & Young, das US-Gesundheitsministerium, die New Yorker Schulbehörde (NYC DOE), Siemens Energy, Schneider Electric und Hunderte weitere. Insgesamt waren über 2.500 Organisationen betroffen. Die persönlichen Daten von mehr als 65 Millionen Menschen wurden gestohlen.

Am 6. Juni begann Clop, die Opfer über ihre Darknet-Leak-Seite zu erpressen: Wer nicht zahlte, dessen Daten würden veröffentlicht. Der geschätzte Gesamtschaden belief sich auf über 10 Milliarden US-Dollar.

Wie der Angriff funktionierte

Der MOVEit-Angriff ist ein Lehrbuchbeispiel für einen mehrstufigen Cyberangriff:

Stufe 1 – Die SQL-Injection: Die Schwachstelle CVE-2023-34362 war eine SQL-Injection-Lücke in der Weboberfläche von MOVEit Transfer. Die Angreifer sendeten speziell präparierte HTTP-Anfragen an den MOVEit-Server, die es ihnen erlaubten, beliebige SQL-Befehle auf der Datenbank auszuführen. Kein Login, kein Passwort – nur eine manipulierte URL.

Stufe 2 – Die Web-Shell-Installation: Über die SQL-Injection platzierten die Angreifer eine Web-Shell namens „LEMURLOOT" (Dateiname: human2.aspx) auf dem Server. Diese Web-Shell war ein kleines Programm, das als Hintertür fungierte und den Angreifern dauerhaften Zugriff ermöglichte – auch wenn die ursprüngliche Schwachstelle gepatcht werden sollte.

Stufe 3 – Die Datenexfiltration: Über die Web-Shell luden die Angreifer systematisch Datenbankinhalte und gespeicherte Dateien herunter. Sie hatten Zugriff auf alles, was über MOVEit Transfer ausgetauscht wurde: Personaldaten, Finanzdokumente, Gesundheitsdaten, Verträge – je nach Organisation unterschiedlich, aber immer hochsensibel.

Stufe 4 – Die Erpressung: Im Gegensatz zu klassischer Ransomware verschlüsselte Clop keine Dateien. Stattdessen drohten sie mit der Veröffentlichung der gestohlenen Daten. Dieses Modell – „Data Extortion" statt „Data Encryption" – hat den Vorteil, dass Backups den Opfern nicht helfen.

Auf den Windows-Arbeitsplätzen der betroffenen Mitarbeiter hinterließ der Angriff ebenfalls Spuren: Die Web-Shell kommunizierte mit den kompromittierten Endpoints, und auf vielen Windows-Rechnern wurden nachgeladene Tools zur lateralen Bewegung im Netzwerk gefunden.

Warum Virenscanner versagten

Der Clop/MOVEit-Angriff umging sämtliche traditionellen Sicherheitsmaßnahmen:

  • Zero-Day bedeutet null Erkennung. Die Schwachstelle CVE-2023-34362 war Microsoft und den Antivirenherstellern unbekannt. Es gab keine Signatur, kein Erkennungsmuster und keinen Patch. Die Angreifer hatten die Lücke mindestens seit 2021 getestet – zwei Jahre vor der Entdeckung.
  • Die Web-Shell war maßgeschneidert. LEMURLOOT war kein bekanntes Malware-Tool, sondern eine speziell für diesen Angriff entwickelte Hintertür. Sie sah aus wie eine normale ASP.NET-Datei und wurde von keinem Scanner erkannt.
  • Datendiebstahl erzeugt keine typischen Malware-Signale. Die Angreifer verwendeten legitime Dateitransfer-Protokolle, um die gestohlenen Daten herunterzuladen. Für einen Virenscanner sah das aus wie normaler Netzwerkverkehr.
  • Nachgeladene Tools waren polymorphisch. Die auf Windows-Rechnern gefundenen Tools wurden für jedes Ziel individuell kompiliert. Jede Instanz hatte einen einzigartigen Hash – Signatur-basierte Erkennung war unmöglich.

So hätte Deep Freeze geschützt

Obwohl der primäre Angriff auf MOVEit-Server zielte, spielten Windows-Arbeitsplätze eine wichtige Rolle als Ausgangspunkt und für die laterale Bewegung im Netzwerk. Deep Freeze hätte hier signifikant geholfen:

  1. Nachgeladene Tools auf Windows-Rechnern wären nach dem Neustart verschwunden. Die Angreifer platzierten auf kompromittierten Windows-Arbeitsplätzen Tools für die laterale Bewegung – Mimikatz-Varianten, Credential Dumper und Remote-Access-Tools. Mit einer eingefrorenen Systempartition wären all diese Tools beim nächsten Neustart eliminiert worden.
  2. Persistenzmechanismen hätten nicht funktioniert. Die Angreifer richteten Autostart-Einträge, geplante Tasks und Registry-Schlüssel ein, um dauerhaften Zugriff auf kompromittierte Windows-Rechner zu behalten. Deep Freeze hätte all diese Änderungen beim Neustart rückgängig gemacht.
  3. Die laterale Bewegung wäre drastisch eingeschränkt worden. Wenn jeder Windows-Arbeitsplatz nach dem Neustart im Originalzustand ist, verlieren die Angreifer bei jedem Reboot ihren Brückenkopf. Sie müssten den Angriff von vorne beginnen – was Zeit kostet und die Entdeckungswahrscheinlichkeit erhöht.
  4. Gestohlene Anmeldedaten hätten eine kürzere Lebensdauer. Auf eingefrorenen Systemen können keine dauerhaften Keylogger oder Credential Harvester installiert werden. Die Angreifer hätten nur Zugangsdaten aus einer einzigen Sitzung erbeuten können.

Die Lehre

  • Zero-Day-Lücken können jahrelang unentdeckt bleiben. Clop testete die MOVEit-Schwachstelle seit 2021. Zwei Jahre lang existierte ein offenes Einfallstor, das kein Sicherheitsprodukt erkannte.
  • Moderne Angreifer verschlüsseln nicht mehr – sie stehlen. Datendiebstahl mit Erpressung ist für Angreifer einfacher und profitabler als Ransomware. Backups helfen dagegen nicht.
  • Die Angriffskette erstreckt sich über viele Systeme. Auch wenn der initiale Einbruch auf einem Server stattfand, wurden Windows-Arbeitsplätze als Sprungbrett für weitere Angriffe genutzt.
  • Deep Freeze unterbricht die Angriffskette auf Windows-Ebene. Nachgeladene Tools, Persistenzmechanismen und gestohlene Zugangsdaten überleben keinen Neustart auf einer eingefrorenen Systempartition.
  • Tiefenverteidigung ist entscheidend. Deep Freeze ersetzt keine Server-Sicherheit, aber es eliminiert Windows-Arbeitsplätze als Angriffsvektoren und Sprungbretter im Netzwerk.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →