Cl0p siber şantaj ekibi diyor MOVEit Transfer çözümündeki bir güvenlik açığından yararlanarak verilerini çaldıkları birçok kuruluşun kendileriyle iletişime geçmek için 14 Haziran’a kadar süreleri var – yoksa adlarını özel sızıntı sayfalarında yayınlayacaklar.
Ayrıca, ödeme pazarlığı başarısız olursa ve kuruluş ödeme yapmazsa, çalınan tüm verileri yedi gün sonra yayınlayacaklarını söyleyerek tehdit ediyorlar.
Onaylanmış kurbanlar
Daha önce de bildirdiğimiz gibi Zellis, British Airways, BBC, Aer Lingus ve Boots, mağdur kuruluşlar arasında olduklarını doğruladılar.
Kısa süre sonra Nova Scotia (Kanada) eyaleti, “Nova Scotia Health, IWK Sağlık Merkezi ve kamu hizmetinin birçok çalışanının kişisel bilgilerinin MOVEit küresel siber güvenlik ihlali sırasında çalındığını” paylaştı.
Cl0p, hükümet ve polis teşkilatlarının ve şehirlerin verilerinin sızdırılması konusunda endişelenmelerine gerek olmadığını, çünkü verileri sildiklerini, ancak bunun doğru olup olmadığını yalnızca zamanın göstereceğini iddia ediyor.
Açığa çıkan MOVEit Transfer örnekleri
Zamanla, diğer fidye yazılımı/gasp çetelerinin, ya kendileri yeniden oluşturduktan ya da yapan birinden satın aldıktan sonra, açıktan yararlanmaya başlaması muhtemeldir.
Web tabanlı bir arama yürüten şirket, “Geçen hafta boyunca, Censys, MOVEit Transfer bulut sunucularını çalıştıran ana bilgisayar sayısının 3 binden 2,6 binin biraz üzerine düştüğünü gözlemledi, bu da bazılarının potansiyel olarak çevrimdışına alındığını gösteriyor” dedi. İnternete bağlı cihazları keşfetme platformu, Çarşamba günü söyledi.
“Bu sunuculardan birkaçı, birden fazla Fortune 500 şirketi ve hem eyalet hem de federal hükümet kurumları dahil olmak üzere yüksek profilli kuruluşlarla ilişkilidir. Finans, teknoloji ve sağlık sektörleri, Censys’in önemli sayıda risk gözlemlediği başlıca sektörlerdir.”
Etkilenen kuruluşlar, küçük işletmelerden işletmelere kadar değişir.
Güvenlik tavsiyeleri faydalı bilgiler sunar
Bu arada ABD CISA ve FBI, CL0P’nin son saldırılarının yanı sıra Accellion Dosya Aktarım Cihazı (FTA) cihazlarında (2020-2021’de) ve GoAnywhere MFT platformunda sıfır günden yararlandıkları önceki saldırıların yanı sıra, ortak bir danışma belgesi yayınladı. (2023’ün başlarında).
Danışma belgesi, grup tarafından kullanılan kötü amaçlı araçları ve taktikleri ana hatlarıyla belirtir ve kuruluşların bu saldırılarda güvenliklerinin ihlal edilip edilmediğini kontrol etmek ve etkilenen sistemleri temizlemek, istenmeyen yönetici hesaplarını kaldırmak vb. için kullanabilecekleri uzlaşma ve tespit kuralları göstergelerini içerir.
MOVEit Transfer’i geliştirip satan ve bunu bulut tabanlı bir hizmet olarak sunan Progress Software, saldırılarla ilgili yeni keşifleri yansıtmak için kendi güvenlik danışmanlığını sürekli olarak güncelliyor ve revize ediyor.
Huntress araştırmacıları, MOVEit Transfer yazılımından yararlanan saldırı zincirini yeniden yarattı ve gösterdi.