İlk olarak 1 Haziran’da keşfedilen MOVEit dosya aktarımı sıfır günlük güvenlik açığı, 30 Haziran’a kadar en az 160 doğrulanmış kurbanı ihlal etmek için kullanıldı. Başarılı toplu şantaj kampanyası, uzmanların söylediğine göre Rus destekli C10p fidye yazılımı grubunun taktiklerinin bir evrimini temsil ediyor rakip tehdit aktörlerinin dikkatini çekmesi muhtemeldir.
Tehdit araştırmacıları, MOVEit kampanyasının, savunucular için de tedarik zinciri siber saldırılarının geleceğine nasıl yanıt verileceği konusunda bazı ipuçlarına sahip olduğunu belirtiyor.
Şimdiye kadar ihlal edilen kuruluşlar arasında, Avast’ın ana şirketi gibi uluslararası markaların kim kimdir,
British Airways, Siemens, UCLA ve daha fazlası. Raporlara göre, fidye yazılımı grubu, MOVEit dosya aktarım yazılımındaki gizli kusurla donanmış olarak, en az iki yıllık dikkatli bir geliştirme sürecinin ardından, sabırla ne zaman ve nerede saldıracağını planlayıp planlayarak, teknik olarak ayrıntılı kitlesel istismarı başardı.
Fidye Yazılımsız Fidye Yazılım Saldırıları
Araştırmacılar, C10p’nin önceki istismarlar ile MOVEit kampanyası arasında yaptığı ve diğer tehdit gruplarını etkilemesi muhtemel birkaç yeniliğe dikkat çekiyor. Örneğin, Huntress güvenlik tehdidi araştırmacısı John Hammond, Dark Reading’e, C10p’nin fidye yazılımlarını tamamen ortadan kaldırarak gasp iş modelini kolaylaştırdığını söyledi.
“Sektörün gördüğü kadarıyla [recent] Cl0p ihlalleri (yani, GoAnywhere MFT ve MOVEit Transfer), hedef ortamlarda fidye yazılımı yürütmediler,” diyor Hammond. “Operasyonlar kesinlikle verileri sızdırıyor ve bu çalınan bilgileri daha sonra şantaj ve gasp için kullanıyor. Neden dosyaları şifrelememeyi seçtikleri açık değil.”
C10p’nin neden döndüğü net olmasa da, sonuçta daha iyi bir fidye yazılımı oluşturmaya çalışmanın ek yükü olmayan bir fidye yazılımı iş modeli ortaya çıkıyor, diye ekliyor.
Hammond, “Belki diğer siber suç çeteleri de aynı şeyi yapacaktır ve fidye yazılımı araçlarının geliştirilmesi ve daha hızlı kötü amaçlı yazılımlar oluşturulması, rakipler yalnızca gerçek amaçları olan para kazanmaya odaklanabildiklerinde, yol kenarına düşebilir,” diyor.
Üçüncü Taraf Sıfır Gün İstismar Sağlayıcıları
Bütün bunlar, MOVEit siber saldırılarının birincil motivasyonunun para kazanmak olsaydı, grup MOVEit’teki gibi bir açığı keşfetmek ve geliştirmek için zaman ve kaynak harcamaktan çok daha basit bir yaklaşım seçerdi.
Trellix Gelişmiş Araştırma Merkezi’nin tehdit istihbaratı başkanı John Fokker, Dark Reading’e cevabı bildiğini düşündüğünü açıkladı: Grup, sıfır günü üçüncü bir taraftan aldı.
Trellix Gelişmiş Araştırma Merkezi tehdit istihbaratı başkanı John Fokker, Dark Reading’e “Bu özel siber saldırı ve güvenlik açığının gerçekten ilginç olan birkaç yönü ve faktörü var” dedi. “MOVEit güvenlik açığı kolay veya anlaşılır bir güvenlik açığı değil – bu güvenlik açığını keşfetmek, anlamak ve kullanmak için MOVEit platformunda kapsamlı araştırma yapılması gerekiyordu. Bu güvenlik açığını ortaya çıkarmak ve kullanmak için gereken beceri seti kolayca eğitilemez ve edinilmesi zordur. tarafından sektörde.”
Bir operasyona bu düzeyde ayrıntı ayırmanın, C10p fidye yazılımı grubunun genellikle yaptığı bir şey olmadığını da sözlerine ekledi; bu da Fokker ve ekibinin, C10p’nin MOVEit sıfır gün güvenlik açığını sıfırdan geliştirmek yerine edindiğinden şüphelenmesine yol açan başka bir ipucu.
“Fokker, C10p’nin bu sıfır gün güvenlik açığını ve istismarını gerçekten keşfetmemiş olması ve bunun yerine onu üçüncü bir taraftan almış olması kesinlikle bir olasılık. saldırı ve sızıntı ilanlarının diğer bazı unsurlarına ek olarak.”
Yazılım Tedarik Zincirini Gelecekteki Sıfırıncı Gün İstismarlarına Karşı Destekleme
Proofpoint’in tehdit algılama direktörü Randy Pargman, daha karmaşık sıfır gün tedarik zinciri saldırılarını durdurmak için, yazılım satıcıları tarafından finanse edilen sağlam, duyarlı hata ödül programları da dahil olmak üzere proaktif çabalara yatırım yapılmasını gerektirdiğini belirtiyor.
Pargman, “Yazılım satıcılarının hata ödülleri için ödemeye razı oldukları para miktarı ile sıfır gün araştırmacılarının araştırmaları için hükümetlerden ve yeraltı pazarlarından alabilecekleri miktar arasında büyük bir tutarsızlık var, bu nedenle satıcılar daha fazla yatırım yaparak daha iyisini yapabilirler.” diyor. “Yazılım şirketlerinin hala en çok gelişebileceği nokta, hata ödül avcılarının sorunları bildirmesini kolaylaştırmak ve araştırmacılara saygılı davranmaktır.”
Ancak Açık Kaynak Güvenlik Vakfı genel müdürü Omkhar Arasaratnam, ne diyor? Siber güvenlik uzmanları arasında MOVEit istismarına yönelik panik halindeki tepkilerin raporları hakkında daha çok endişe duyuyor.
“Siber güvenlik topluluğu olayları sıkıcı hale getirmeye odaklanmalı” Arasaratnam diyor. “Sağlık görevlileri bir kaza mahalline vardıklarında çılgınca veya panik içinde koşmazlar. Sağlık görevlileri erişim sağlamak, olay yerini değerlendirmek, triyaj yapmak ve etkili bir şekilde yardım etmek için öğrendikleri prosedürleri kasten ve metanetle uygularlar. Siber güvenlik, sağlık görevlilerinden ders alabilir.”