Phishing starten

Clop greift CentreStack an: Datendiebstahl-Welle bedroht Firmen

Clop attackiert exponierte Gladinet CentreStack-Server und erpresst Unternehmen mit Datendiebstahl statt Verschlüsselung. So minimierst du Risiko und Schaden.
Inhaltsverzeichnis

Lesezeit: 6 Min.

Clop greift CentreStack an: Datendiebstahl-Welle bedroht Firmen

Die Ransomware-Gruppe Clop nimmt aktuell Internet-exponierte Gladinet CentreStack-Server ins Visier. Statt klassischer Verschlüsselung fokussieren die Angreifer sich auf Datendiebstahl und Erpressung – ein Trend, der Unternehmen quer durch alle Branchen unter Druck setzt.

Wenn dein Unternehmen CentreStack als Filesharing- oder Remote-Access-Lösung nutzt, ist jetzt der richtige Zeitpunkt, deine IT-Sicherheit, Patch-Strategie und Zugriffswege kritisch zu prüfen.

Was ist passiert? Zielgerichtete Angriffe auf CentreStack

Clop ist für großangelegte Kampagnen gegen Dateiserver- und MFT-Lösungen bekannt. Die Gruppe fiel bereits durch Angriffe auf MOVEit Transfer, GoAnywhere MFT und Accellion FTA auf – häufig unter Ausnutzung von Zero-Day-Schwachstellen. Aktuell richtet sich der Blick auf Gladinet CentreStack, eine Plattform, die lokalen Speicher als private Cloud mit externem Zugriff verfügbar macht.

Die Beobachtungen aus der Security-Community zeigen: Die Angriffe zielen primär auf exponierte, direkt aus dem Internet erreichbare CentreStack-Instanzen. Nach dem Eindringen extrahiert Clop große Datenmengen und setzt auf Erpressung durch Veröffentlichungsdrohungen (Data Theft Extortion), teils ohne die Systeme mit Ransomware zu verschlüsseln. Dieser Ansatz reduziert Erkennungs-Signale und beschleunigt die Monetarisierung.

Keywords: Ransomware, Datendiebstahl

Warum CentreStack-Server ein attraktives Ziel sind

CentreStack verbindet File-Server und Cloud-Zugriff – genau die Schnittstelle, auf die moderne Angreifer zielen. Typische Risikofaktoren:

  • Direkte Exposition: Admin-Ports oder Weboberflächen sind öffentlich erreichbar, oft mit Standardpfaden.
  • Veraltete Software: Patch-Gaps schaffen ein Zeitfenster für Exploits – auch ohne Zero-Day.
  • Schwache Zugangskontrollen: Fehlende MFA, breit vergebene Administratorrechte und wiederverwendete Passwörter.
  • Unzureichende Segmentierung: CentreStack hat unnötige Reichweite ins interne Netz und auf File-Shares.

Wenn ein Angreifer CentreStack kompromittiert, gelangt er häufig direkt an geschäftskritische Daten und kann sie automatisiert exfiltrieren. Das macht die Plattform zu einem High-Value Target – ähnlich wie MFT-Systeme und zentrale Dokumenten-Drehscheiben.

Keywords: IT-Sicherheit, Angriffsfläche

So geht Clop vor: Taktiken, Techniken und Verfahren (TTPs)

1) Initialzugriff

  • Exploiting verwundbarer Webdienste: Ausnutzung bekannter Schwachstellen oder Fehlkonfigurationen.
  • Credential-Diebstahl: Phishing, Passwort-Spraying, Leaks aus früheren Vorfällen. Tipp: Unsere Phishing-Simulationen decken schwache Stellen im Team auf.
  • Missbrauch von Standard- und Servicekonten: Häufig ohne MFA abgesichert.

2) Laterale Bewegung und Ausweitung

  • Living-off-the-Land: Nutzung eingebauter Tools (z. B. PowerShell, certutil, Task Scheduler), um EDR-Schwellenwerte zu umgehen.
  • Privilege Escalation: Missbrauch lokaler Admins, falsch konfigurierte Rollen in CentreStack und AD.

3) Exfiltration und Erpressung

  • Data Theft Extortion statt reiner Verschlüsselung („Double Extortion“ bleibt möglich).
  • Druckmittel: Veröffentlichung sensibler Daten (Kundenlisten, IP, HR-Daten) auf Leak-Sites.

Keywords: Phishing, Zero-Day

Beispiel aus der Praxis (fiktiv, aber typisch)

Ein mittelständischer Hersteller setzte CentreStack ein, um externen Partnern Zugriff auf Projektdaten zu gewähren. Die Admin-Oberfläche war direkt aus dem Internet erreichbar, MFA nur teilweise aktiviert. Nach einer Brute-Force-Phase meldete sich der Angreifer erfolgreich an, legte neue Konten an und startete eine gestaffelte Exfiltration über mehrere Tage. Es folgten Erpressungs-Mails mit Beispiel-Datensätzen. Ergebnis: Projektverzögerungen, Meldungen an Aufsichtsbehörden und eine kostspielige forensische Analyse. Ein vorgelagertes Incident-Response-Playbook und Netzwerksegmentierung hätten den Schaden deutlich begrenzt.

Keywords: Incident Response, Data Breach

Welche Risiken drohen Unternehmen?

  • Rechtliche und regulatorische Folgen: DSGVO-Meldungen, Bußgelder, Vertragsstrafen.
  • Betriebsunterbrechung: Auch ohne Verschlüsselung können Systeme zur Schadensbegrenzung offline genommen werden.
  • Reputationsverlust: Vertrauensschaden bei Kunden, Partnern, Investoren.
  • Versicherungen: Cyber-Policen verlangen oft Mindeststandards (MFA, Patching, Logging). Verstöße erhöhen Eigenanteile.

Keywords: Compliance, Governance

Harte Fakten für die Abwehr: Konkrete Maßnahmen

1) Angriffsfläche reduzieren

  • Kein Direct Exposure: CentreStack-Management und -Zugriffe nur über VPN/ZTNA, nicht direkt aus dem Internet. Reverse Proxy mit mTLS in Betracht ziehen.
  • Aktualisieren: Patch-Management strikt durchsetzen. Abgleich mit Vendor-Notices von Gladinet. Notfalls virtuelles Patching via WAF.
  • Härtung: Deaktiviere unnötige Dienste, setze Security-Header, erzwinge TLS 1.2/1.3, sichere Admin-Pfade mit zusätzlichen Policies.

2) Identitäten und Zugriffe stärken

  • MFA überall – besonders für Admins und externe Partner.
  • Least Privilege: Rollen und Gruppen in CentreStack und AD regelmäßig rezertifizieren.
  • Passworthygiene: Blocklisten für schwache Passwörter, Rotation kompromittierter Konten.

3) Erkennung und Reaktion beschleunigen

  • Logging/Monitoring: Web- und Applikationslogs sammeln, in ein SIEM einspeisen. Alarmregeln für ungewöhnliche Downloads, neue Admin-Konten, Geolokations-Anomalien.
  • EDR/NDR: Endpunkte und Netzwerk auf Exfiltrationsmuster (z. B. ungewöhnliche Upload-Spitzen, Cloud-Hosts) prüfen.
  • Playbooks testen: Tabletop-Exercises mit Fokus auf Datendiebstahl-Erpressung. Siehe auch unsere aktuellen Security-Blogbeiträge.

4) Datensicherung und Minimierung

  • Backups: Immutable/Offline-Kopien, Wiederherstellung regelmäßig testen.
  • Data Minimization: Nicht benötigte Daten entfernen, sensible Bereiche entkoppeln.
  • DLP: Datenklassifizierung und Abflusskontrollen in sensiblen Projekten.

5) Menschliche Firewall stärken

Keywords: MFA, SIEM

Pro & Contra: Self-Hosted Filesharing (z. B. CentreStack) vs. Cloud-only

  • Pro Self-Hosted: Datenhoheit, flexible Integration, Performance nah am File-Server.
  • Contra Self-Hosted: Höherer Betriebs- und Patch-Aufwand, Angriffsfläche durch Exposition, Verantwortung für Monitoring/IR.
  • Pro Cloud-only: Integrierte Security-Kontrollen, weniger Betriebsaufwand, schnelle Patches durch den Provider.
  • Contra Cloud-only: Abhängigkeit vom Anbieter, mögliche Compliance-/Residency-Fragen, Schatten-IT-Risiken.

Tipp: Ein hybrider Ansatz mit ZTNA, segmentierten Zonen und klaren Datenklassifizierungen verbindet Vorteile beider Welten.

Fazit: Jetzt handeln und Angriffsfläche schließen

Clops Fokus auf CentreStack zeigt erneut: Datei- und Transferplattformen stehen im Zentrum moderner Angriffe. Der Wechsel von Verschlüsselung zu Datendiebstahl macht schnelle Erkennung und stringente Prävention wichtiger denn je. Prüfe heute noch, ob deine Instanzen exponiert sind, schließe Konfigurationslücken und rolle Patches aus.

Wenn du Unterstützung brauchst: Wir helfen bei Incident Response, bei der Security Awareness und beim Härten kritischer Systeme. Der beste Zeitpunkt war gestern – der zweitbeste ist jetzt.

Tags

#Ransomware #Clop #CentreStack #Datendiebstahl #IT-Sicherheit

Share the Post:
Verwandte Beiträge
Starten sie heute noch eine Demo

*“ zeigt erforderliche Felder an

Name*
Einwilligung*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.
SECMIND
Phishing-as-a-Service
Ihre Verteidigung gegen Phishing und Cyberangriffe
Quick Links
Rechtliches
Kontakt

+49 2056 999 28 79

info@secmind.de

Social Media
Facebook Instagram Linkedin Xing