New York Şehri Eğitim Bakanlığı (NYC DOE), bilgisayar korsanlarının MOVEit Transfer sunucusundan 45.000’e kadar öğrencinin hassas kişisel bilgilerini içeren belgeleri çaldığını söyledi.
Yönetilen dosya aktarımı (MFT) yazılımı, NYC DOE tarafından verileri ve belgeleri dahili ve harici olarak özel eğitim hizmeti sağlayıcıları da dahil olmak üzere çeşitli sağlayıcılara güvenli bir şekilde aktarmak için kullanıldı.
NYC DOE, geliştirici istismar edilen güvenlik açığı hakkında bilgi verir vermez sunuculara yama uyguladı (CVE-2023-34362); ancak saldırganlar, güvenlik güncellemelerinin kullanıma sunulmasından bir gün önce büyük ölçekli saldırılarda bu hatayı zaten kötüye kullanıyordu.
Etkilenen sunucu, ihlal keşfedildikten sonra çevrimdışına alındı ve NYC DOE, olayı ele almak için NYC Cyber Command ile birlikte çalışıyor.
NYC DOE, “Ayrıca, belirli DOE dosyalarının etkilendiğini ortaya çıkaran bir iç soruşturma yürüttük. Etkilenen dosyaların incelenmesi devam ediyor, ancak ön sonuçlar, DOE personeli ve ilgili hizmet sağlayıcılara ek olarak yaklaşık 45.000 öğrencinin etkilendiğini gösteriyor.” COO Emma Vadehra hafta sonu yayınlanan bir açıklamada söyledi.
“Yaklaşık 19.000 belgeye izinsiz erişildi. Etkilenen veri türleri arasında Sosyal Güvenlik Numaraları ve çalışan kimlik numaraları yer alır (etkilenen tüm bireyler için zorunlu değildir; örneğin, yaklaşık 9.000 Sosyal Güvenlik Numarası dahil edilmiştir).
“FBI, yüzlerce varlığı etkileyen daha geniş bir ihlali araştırıyor; şu anda soruşturma sırasında hem NYPD hem de FBI ile işbirliği yapıyoruz.”
Clop fidye yazılımı çetesi, 5 Haziran’da BleepingComputer ile paylaşılan bir bildiride CVE-2023-34362 MOVEit Transfer saldırılarının sorumluluğunu üstlendi ve siber suç çetesi, “yüzlerce şirketin” MOVEit sunucularını ihlal ettiğini söyledi.
Kroll ayrıca, Clop’un 2021’den bu yana sıfır günlük MOVEit için açıkları aktif olarak test ettiğine ve en az Nisan 2022’den beri güvenliği ihlal edilmiş sunuculardan veri ayıklamak için yöntemler araştırdığına dair kanıtlar ortaya çıkardı.
Clop’un bu kapsamlı veri hırsızlığı kampanyasına dahil olması, MFT platformlarını hedefleyen daha geniş bir modelin parçasıdır.
Önceki örnekler arasında Aralık 2020’de Accellion FTA sunucularının, 2021’de SolarWinds Serv-U sunucularının ihlali ve bu yılın başlarında Ocak ayında GoAnywhere MFT sunucularının yaygın şekilde kullanılması sayılabilir.
Clop zaten etkilenen kuruluşlara şantaj yapıyor
Clop çetesi, yaklaşık iki hafta önce, 15 Haziran’da, MOVEit veri hırsızlığı saldırılarından etkilenen kuruluşları Clop’un karanlık web veri sızıntısı sitesinde halka açık bir şekilde listeleyerek şantaj yapmaya başladı.
Shell, University of Georgia (UGA) ve University System of Georgia (USG), Heidelberger Druck, UnitedHealthcare Student Resources (UHSR) ve Landal Greenparks, etkilendiklerini BleepingComputer’a doğrulayan kuruluşlardan yalnızca birkaçıdır.
MOVEit Transfer saldırılarıyla ilgili ihlalleri zaten ifşa eden diğer kurbanlar arasında ABD’nin Missouri eyaleti, ABD’nin Illinois eyaleti, Zellis (müşterileri BBC, Boots, Aer Lingus ve İrlanda’nın HSE’si ile birlikte), Nova Scotia hükümeti Ofcam yer alıyor. , Amerikan İç Hastalıkları Kurulu ve Extreme Networks.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA), CNN tarafından bildirildiği üzere, birkaç ABD federal kurumunun da ele geçirildiğini açıkladı. Federal Haber Ağı, saldırıların iki ABD Enerji Bakanlığı (DOE) kuruluşunu da etkilediğini söyledi.
Progress geçen hafta MOVEit Transfer müşterilerini, yeni bir SQL enjeksiyon (SQLi) güvenlik açığı (CVE-2023-35708) hakkında çevrimiçi olarak yayınlandıktan sonra sunucularına HTTP erişimini kısıtlamaları konusunda uyardı.
Bu uyarı, başka bir danışma belgesinin toplu olarak CVE-2023-35036 olarak izlenen birkaç başka kritik SQL enjeksiyon güvenlik açığını ifşa etmesinden sonra geldi.