MOVEit Transfer SQL enjeksiyon güvenlik açığını kullanan küresel saldırıdan yararlanan Cl0p fidye yazılımı grubu, sızıntı sitesinde kurbanlarını listelemeye başladı. Grup daha önce fidye ödemesi için son tarih olarak 14 Haziran’ı vermişti.
En son listede Georgia Üniversitesi, küresel fosil yakıt şirketi Shell ve ABD merkezli yatırım yönetimi şirketi Putnam Investments yer alıyor.
MOVEit Transfer SQL enjeksiyon güvenlik açığı ve Cl0p fidye yazılımı grup listesi
Cl0p fidye yazılımı grubunun veri sızdıran web sitesi, MOVEit Transfer SQL enjeksiyon güvenlik açığından (CVE-2023-34362) yararlandığı için itibar kazandığından beri ilgi odağı haline geldi.
6 Haziran 2023’te grup, MOVEit Transfer kurbanlarının müzakereleri başlatmak için bir haftaları olduğunu veya veri sızıntısı siteleri CL0P LEAKS’te kamuya ifşa ve veri sızıntısıyla karşı karşıya kalacağını belirten bir uyarı yayınladı.
“14 Haziran 2023’te Clop, 12 kurbandan oluşan ilk grubunu belirledi. Durumla ilgili bir ReliaQuest raporu, bu yazı yazılırken hiçbir kurban verisinin sızdırılmadığını söyledi.
Adı geçen kurbanların çoğu ABD’den, diğerleri ise İsviçre, Kanada, Belçika ve Almanya’dan geliyor.
Cl0p fidye yazılımı grubunun önceki saldırılarının Cyber Express analizi, öncelikle ABD’deki kuruluşları hedef aldığını, ardından Kanada, İngiltere ve Almanya’yı izlediğini gösteriyor. MOVEit Transfer istismarının kurbanları, Cl0p’nin önceki hedefleriyle uyumludur.
ReliaQuest, “MOVEit Transfer sızıntılarından önce, veri sızıntısı web sitesinde adı geçen kurbanların çoğu üretim (adlandırılmış 66 kuruluş), ardından teknoloji (41) ve sağlık hizmeti (33) sağlayıcıları ile ilgiliydi” dedi.
Cl0p fidye yazılımı grubu ve MFT’ler için yakınlık
MOVEit Transfer SQL enjeksiyon güvenlik açığı, Cl0p fidye yazılımı grubunun masum kurbanları hedef almak için kullandığı en son kurumsal yönetilen dosya aktarımı (MFT) yazılımı zayıflığıydı.
Bu tür istismarın önceki örnekleri aşağıdaki gibi gerçekleşti:
Şubat 2023’te grup, Fortra GoAnywhere MFT’de (CVE-2023-0669) sıfır gün güvenlik açığından yararlanarak 130’dan fazla saldırının sorumluluğunu kabul etti.
Aralık 2020’de Clop, Accellion’ın eski dosya aktarım uygulama yazılımındaki sıfır gün güvenlik açıklarından yararlanarak 100’den fazla şirketten veri hırsızlığına neden oldu.
İlginç bir şekilde, Clop her üç kampanyada da aynı adı taşıyan fidye yazılımını kullanmaktan kaçındı. Bunun yerine, grup veri gasp etme taktiklerini tercih etti.
Kurban sistemlerini şifrelemekten kaçındılar, bunun yerine MFT yazılımından çalınan hassas verileri kamuya açıklamakla tehdit etmeye başvurdular.
Bu tedarik zinciri saldırılarının acımasızca etkili olduğu kanıtlandı ve Clop’un aynı anda çok sayıda kurbanı hedef almasına olanak sağladı. Mağdur bildirimindeki değişikliğe rağmen Cl0p’nin standart uygulamalarına devam etmesi bekleniyor.
ReliaQuest raporuna göre, müzakereler dark web’deki özel sohbet odaları aracılığıyla yapılacak, müzakereler başarısız olursa kurbanların isimleri veri sızdıran web sitelerinde verilecek ve veriler aşamalı olarak sızdırılacak.
MOVEit Transfer SQL enjeksiyon güvenlik açığı kurbanlarının uzun listesi
Araştırmacılara göre, yakın gelecekte başka kuruluşların da CL0P SIZINTILARINDA yer alması bekleniyor. Fidyeyi ödemeyi reddedenler için veri sızıntıları muhtemelen kademeli olarak gerçekleşecek.
Ek MOVEit Transfer güvenlik açıklarının (CVE-2023-35036) yayımlanması, Cl0p ve diğer grupların gelecekteki saldırılarını önerir. Cl0p’nin MFT yazılımını hedef alan tedarik zinciri saldırılarına doğru genişlemesi, önümüzdeki aylarda benzer saldırıların beklenebileceğini gösteriyor.
Bu arada FBI, yabancı IP adresleriyle iletişimi gösteren sınır günlükleri, bir fidye notu örneği, CL0P grubu üyeleriyle yapılan alışverişler, Bitcoin cüzdan ayrıntıları, şifre çözücü dosyaları veya zararsız bir şifreli dosya örneği gibi mevcut tüm bilgileri istedi.
MOVEit Transfer SQL enjeksiyon güvenlik açığı kurbanlarını fidye ödemeye karşı uyardı.
Ortak bir uyarıda, “FBI ve CISA, fidye ödemeyi teşvik etmiyor çünkü ödeme kurban dosyalarının kurtarılacağını garanti etmiyor” dedi.
“Ayrıca ödeme, düşmanları ek kuruluşları hedeflemeye, diğer suçlu aktörleri fidye yazılımı dağıtmaya ve/veya yasa dışı faaliyetlere fon sağlamaya teşvik edebilir.”
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen dahili ve harici araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. bu Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.