Mitte September meldete Firewallhersteller Sonicwall einen Einbruch in seine Cloud, bei dem Konfigurations-Backups von Sonicwall-Kunden kopiert worden seien. Das beträfe jedoch nur fünf Prozent der Kunden, hieß es damals in einer ersten Einschätzung des Unternehmens. Diese revidiert Sonicwall nun: Alle Kunden sind betroffen und sollten handeln.
Wie Sonicwall bereits in der ersten Warnmeldung erläuterte, sind Kunden betroffen, die eine optionale Sicherung ihrer Firewall-Konfigurationsdaten in der Cloud des Herstellers aktiviert haben. Gemeinsam mit dem Incident-Response-Experten Mandiant, einer Google-Tochter, untersuchte Sonicwall den Vorfall genauer und fand heraus: Es hat alle Kunden erwischt.
Alle Kunden und Partner sind jetzt dringend aufgerufen, sich um eine Milderung der möglichen Folgen des Lecks zu bemühen. Dazu sollen sie sich im Sonicwall-Portal anmelden und alle Geräte – nach ihrer Wichtigkeit sortiert – unter die Lupe nehmen. Dafür gibt es ein ausführliches Playbook, an dem sich Admins entlang hangeln sollten, um es Angreifern nicht zu leicht zu machen.
Die haben bereits erste Attacken gestartet: Es steht zu vermuten, dass die Ransomware-Gruppe Akira und andere Cyberkriminelle über Kopien der Sicherungsdateien verfügen und diese in ihren laufenden Angriffskampagnen schon nutzen.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo