Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Dalış Özeti:
- ReliaQuest analizine göre Clop, MOVEit güvenlik açıklarından etkilenenlerin üretken fidye yazılımı grubuyla iletişim kurması için son tarihin sona ermesinden sonra Çarşamba günü veri sızıntısı web sitesinde bir düzine kurban organizasyonun adını verdi.
- Geçen hafta, Clop, Progress Software’in MOVEit dosya aktarım hizmetini istismar etmekten övgüyle söz ederek, kurbanların grupla iletişime geçmesi ve fidye ödemek için müzakerelere başlaması için bir son tarih belirledi. ReliaQuest’teki tehdit araştırma ekibine göre, bir kuruluş ödeme yapmazsa Clop, hedeflenen kuruluşun verilerini sızıntı sitesinde adlandırmak, utandırmak ve sızdırmakla tehdit etti.
- ReliaQuest, adı geçen kuruluşların çoğunun ABD menşeli olduğunu, ancak diğerlerinin İsviçre, Kanada, Belçika ve Almanya merkezli olduğunu söyledi. Şimdiye kadar, Clop çalıntı verileri sızdırmadı.
Dalış Bilgisi:
Clop, sızıntı sitesinde, olay sonrası penetrasyon testi sunan en iyi kuruluşlardan biri olarak kendini faturalandırıyor. Binlerce kuruluş MOVEit güvenlik açıklarına maruz kalmış olabileceğinden, uzlaşma iddiaları güvenlik endüstrisini uyardı.
ReliaQuest CISO Ofisi CISO’su Rick Holland, e-postayla gönderilen yorumlarda “Clop sözünü tuttu ve Çarşamba günü karanlık web sızıntı sitesinde kurban adlarını yayınlamaya başladı” dedi. Ve grubun, bu yılın başlarındaki GoAnyWhere istismar kampanyasından bu yana operasyonlarını ölçeklendirdiğine dair kanıtlar var.
Holland, GoAnyWhere kampanyasının ilk haftasında Clop’un yedi kurban kuruluş yayınladığını söyledi. “Tarih tekerrür ederse, grup daha yeni başlıyor. Mart ayında tek bir günde 50’den fazla GoAnywhere kurbanı yayınladı. Clop’un benzer şekilde çalışmaya devam edip etmediğini zaman gösterecek, ancak önümüzdeki günlerde daha birçok şirketin listelenmesini bekliyorum. ve haftalar.”
Emsisoft Tehdit Analisti Brett Callow da benzer bir görüş bildirdi: Clop, yüzlerce kuruluşun MOVEit’ten etkilendiğini iddia etti.
Callow, “Eğer bu doğruysa, baş edebileceklerinden daha fazla eş zamanlı müzakere yapmaktan kaçınmak için işleri sarsmaları hiç de şaşırtıcı değil” dedi.
Şimdi, bundan sonra ne olacağını görmek biraz bekleme oyunu. ReliaQuest, ilk kurban grubu serbest bırakılırken, bir örgütün fidye listesinden bir diğerinin yerine çıkarıldığını söyledi. Holland, neden belli olmadığını, ancak mağdur örgütün müzakerelere başlama olasılığının olduğunu söyledi.
Progress, 31 Mayıs’ta ilk MOVEit güvenlik açığı olan CVE-2023-34362’yi açıkladı ve geçen hafta CVE-2023-35036 kapsamında izlenen ek güvenlik açıkları belirledi.
Kamuya açıklanan birkaç güvenlik açığıyla ReliaQuest, önümüzdeki üç ila 12 ay içinde Clop’tan benzer tedarik zinciri saldırıları yapma olasılığını artırdı.
Censys, ilk güvenlik açığı ifşa edilmeden veya yamalanmadan önce 3.000’den fazla MOVEit ana bilgisayarının internete açık olduğunu tespit etti. Ve risk analizi firması Kroll, CVE-2023-34362’nin zaman çizelgesini yaklaşık iki yıl geriye aldı ve Clop’un Temmuz 2021 gibi erken bir tarihte bundan yararlanmanın yollarını denemeye başladığına dair kanıtlara atıfta bulundu.
ReliaQuest’in söylediğine göre Clop, geleneksel olarak imalat, teknoloji ve sağlık sektörlerindeki sızıntı sitelerine geçmişteki kurbanların adını verdi. MOVEit güvenlik açıklarına potansiyel olarak maruz kalanlar, bu sektörlerle yakından uyumludur.
Censys araştırması, genel olarak internete maruz kalan MOVEit ana bilgisayarlarının %31’inin finans sektöründe olduğunu buldu., sağlıkta %16, BT’de %9 ve devlet ve orduda %8. Censys, sunucuların yaklaşık dörtte üçünün ABD’de yerleşik olduğunu buldu.
Halihazırda ortaya çıkan MOVEit kurbanları arasında Illinois ve Missouri eyaletleri, Minnesota Eğitim Bakanlığı, Birleşik Krallık’ın iletişim düzenleme kurumu Ofcom ve Extreme Networks yer alıyor.
Holland, Clop’un daha birçok “iş fırsatına” sahip olduğunu, bu nedenle listeyi gözden geçirmenin zaman alacağını söyledi. Holland ayrıca Clop’un web sitesinin Çarşamba gecesi çevrimdışı olduğunu, ancak “muhtemelen siteye erişen çok sayıda şirket, araştırmacı ve kolluk kuvveti nedeniyle” Perşembe günü geri döndüğünü belirtti.