İhlal Bildirimi , Güvenlik İşlemleri
Clop Kampanyası Kurbanlarının Son Tablosu: 670 Kuruluş, 46 Milyon Kişi
Mathew J. Schwartz (euroinfosec) •
14 Ağustos 2023
Clop siber suç grubunun MOVEit saldırısının kurban sayısı giderek artıyor ve şu anda 670 kuruluşun dosya aktarım uygulamasından toplu veri hırsızlığına yakalandığı biliniyor.
İhlal bildirimlerine göre, saldırılar sonucunda en az 46 milyon kişinin kişisel bilgileri çalındı, siber güvenlik firması Emsisoft’u bildirdi. ABD merkezli firmaların kurbanların yüzde 78’ini oluşturduğunu, bunu yüzde 5 ile Almanya’nın, yüzde 4 ile Kanada’nın ve yüzde 3 ile İngiltere’nin izlediği belirtildi. Etkilenen kuruluşların sayısı, Alman siber güvenlik firması KonBriefing’den geliyor.
MOVEit’in bilgisayar korsanlığı kaynaklı bir ihlal bildirimi yayınlayan en son kuruluşlar arasında, 4,1 milyon kişiye kişisel bilgilerinin çalındığını bildiren Colorado’nun Sağlık Hizmetleri Politikası ve Finansmanı Departmanı bulunmaktadır.
Sağlık kurumu, eyaletin Health First Colorado adlı Medicaid programının yanı sıra Child Health Plan Plus, namı diğer CHP+ ve hak kazanan Colorado’lular için diğer sağlık programlarını denetler.
Açığa çıkan bilgiler arasında kurbanın tam adı, Sosyal Güvenlik numarası, Medicaid veya Medicare Kimliği, doğum tarihi, ev adresi ve gelir bilgilerinin yanı sıra klinik ve tıbbi bilgiler yer almış olabilir.
HCPF, verilerin, veri dosyalarını taşımak için MOVEit uygulamasını kullanan hizmet sağlayıcısı IBM’den çalındığını söyledi. Ajans, kurbanlara iki yıl ön ödemeli kimlik hırsızlığı izleme hizmetleri sunuyor.
Colorado ajansı, Rusça konuşan Clop’un veri çalma kampanyasından doğrudan veya dolaylı olarak etkilendiği bilinen yüzlerce kuruluştan biri. Kurban olan diğer kuruluşlar arasında Shell, UCLA, Siemens Energy, danışmanlık firmaları EY ve PwC, ABD hükümetinin Enerji ve Tarım departmanları ve Personel Yönetimi Ofisi, Louisiana ve Oregon’daki motorlu araç acenteleri ve İngiliz maaş bordrosu sağlayıcısı Zelle yer alıyor. .
Clop, 27 Mayıs’ta MOVEit sunucularında sıfırıncı gün güvenlik açığını hedefleyen yüksek düzeyde otomatikleştirilmiş saldırılarını başlatmış gibi görünüyor.
31 Mayıs’ta, MOVEit’in Massachusetts merkezli Progress Software geliştiricisi Burlington, CVE-2023-34362 olarak adlandırılan kusurla ilgili ilk güvenlik uyarısını yayınladı. Progress, tüm müşterileri, kusuru düzelten yamalı bir sürüme yükseltene kadar yazılımlarını derhal çevrimdışı duruma getirmeye çağırdı.
Clop’un MOVEit’teki sıfır gün kusurunu nasıl bulduğu belirsizliğini koruyor, ancak bu, grubun hızlı, yüksek etkili bir kampanyada büyük miktarda veri çalmak için bu tür bir kusuru hedeflediği dördüncü kampanya olmasına rağmen.
Clop o zamandan beri kurbanları şantaj yapmaya çalışıyor. Ödeme yapmayan kurbanlar için grup, veri sızıntısı sitesinde isimler ve çalıntı veriler yayınlıyor.
Finansal Hizmet Mağdurları
Colorado’nun devlet sağlık kurumu gibi, birçok kuruluş da MOVEit yazılımını kullanan hizmet sağlayıcılarının hacklenmesi nedeniyle dolaylı kurban oldu. Bunlar arasında, Cuma günü 25.685 kişinin PBI Research Services’in MOVEit sunucusunun ihlalinden etkilendiğini açıklayan Amerika Birleşik Devletleri’ndeki üçüncü büyük hayat sigortası şirketi New York Life Insurance Co. da var.
PBI Research, finansal hizmetler sektöründe yaygın olarak kullanılmaktadır ve çok sayıda başka kuruluş, müşterileri hakkındaki bilgilerin MOVEit sunucularından çalındığını zaten ifşa etmiştir. PBI, tüm kurbanlara Kroll’dan 12 aylık kredi ve kimlik hırsızlığı izlemesi sağlıyor.
Yine Cuma günü, merkezi Tacoma, Washington’da bulunan Umpqua Bank, MOVEit kullanan hizmet sağlayıcılarından birinin verilerinin çalınmasından etkilendiğini 429.252 kişiye bildirmeye başladığını söyledi. Bankanın veri ihlali bildiriminde satıcının adı verilmeden “Bu satıcı, Umpqua da dahil olmak üzere dünyanın önde gelen bankalarının çoğuna teknoloji hizmetleri sağlıyor” diyor. Umpqua, ChexSystems kurbanları için iki yıllık kimlik hırsızlığı izlemesi sağlıyor.
Florida Sağlıklı Çocuklarla İlgili Veriler Çalındı
Florida Healthy Kids – devlet destekli bir sağlık sigortası programı – DataBreaches.net’in ilk bildirdiği gibi, programı yöneten yaygın olarak kullanılan devlet yüklenicisi Maximus’un MOVEit sunucularına yapılan bir saldırı sonucu kurban gitti.
Yıllık geliri 1,2 milyar dolar olan halka açık Maximus, daha önce Clop’un MOVEit sunucusundan birden fazla müşteriye ait 169 gigabayt veri çaldığını bildirmişti.
Etkilenen Florida Sağlıklı Çocuklar kullanıcılarına yönelik veri ihlali bildiriminde Maximus, etkilenen çocukların veya ailelerin sayısını belirtmedi. Şirket daha önce düzenleyicileri toplamda “en az” 8 milyon ila 11 milyon kişiye bildirimde bulunmayı beklediği konusunda uyarmıştı; bu, şimdiye kadar Clop’un MOVEit kampanyası aracılığıyla ihlal edilen herhangi bir kuruluş tarafından bildirilen en büyük mağdur koleksiyonu.
Maximus, 30 Mayıs’ta “MOVEit ortamında olağandışı etkinlik tespit ettiğini” ve Progress Software’in ilk güvenlik uyarısını yayınlamasından önce 31 Mayıs’ta MOVEit sunucusunu çevrimdışı duruma getirdiğini söyledi.
26 Temmuz’da bir Menkul Kıymetler ve Borsa Komisyonu başvurusunda Maximus, yatırımcılara üçüncü çeyrek sonuçlarının “olayla ilgili toplam soruşturma ve düzeltme maliyetleri için yaklaşık 22 milyon dolarlık bir masraf içerdiğini” söyledi.
Maximus, mağdurlara iki yıllık kredi ve kimlik hırsızlığı izleme hizmetleri sağladığını söyledi.
Gün ışığına çıkmaya veya güncelleme sağlamaya devam eden daha fazla kurbanla, Clop kurbanlarının tam sayısının artması muhtemeldir.