Clop Crime Group, Sızıntı Sitelerine 62 Ernst & Young Müşterisi Ekliyor

3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi

Kurbanlar arasında Kanada’daki Havayolu, Bankalar, Hastaneler ve Perakendeciler Var

Prajeet Nair (@prajeetspeaks) •
11 Temmuz 2023

MOVEit siber saldırı kurbanlarının büyüyen listesi büyüdü. Big Four muhasebe firması Ernst & Young’ın altmış iki 62 müşterisi artık Clop fidye yazılımı grubunun veri sızıntısı sitelerinde görünüyor.

Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler

Clop fidye yazılımı grubunun popüler MOVEit dosya aktarım yazılımına yönelik tedarik zinciri saldırısı, müşteri klasörlerindeki finansal raporlar ve muhasebe belgeleri, pasaport taramaları, Visa taramaları, risk ve varlık yönetimi belgeleri, sözleşmeler ve sözleşmeler dahil olmak üzere Ernst & Young müşterileri hakkında 3 terabaytlık kritik bilgiyi sızdırdı. , kredi sözleşmeleri, denetim raporları ve hesap bakiyeleri.

Son zamanlarda adı geçen kurbanların çoğu Kanada’dandır ve Air Canada, Altus, Amdocs, Constellation Software, EY-Continental Transition, Laurentian Bank of Canada, LendLease, Sierra Wireless, SSC Fraud Risk Assessment, St. Mary’s General Hospital Surgical Services Review, Staples Canada, Sun Life Assurance of Canada, United Parcel Service Canada Ltd. ve daha fazlası.

Bilgisayar korsanlığı kampanyası, Rusça konuşan siber suç grubu Clop’un 27 ve 28 Mayıs tarihlerinde MOVEit’te önceden bilinmeyen bir güvenlik açığını hedeflemeye başlamasının ardından gün ışığına çıktı.

Ernst & Young sözcüsü, muhasebe firmasının sistemlerine “sınırlı” bir saldırı meydana geldiğini doğruladı. Sözcü, “Küresel organizasyonumuz genelinde bu aktarım hizmetini kullanan sistemlerin büyük çoğunluğunun güvenliğinin ihlal edilmediğini doğruladık” dedi. “Verilere erişilmiş olabilecek sistemleri manuel olarak ve kapsamlı bir şekilde araştırıyoruz. Önceliğimiz, etkilenenlerle ve ilgili makamlarla iletişim kurmaktır ve soruşturmamız devam etmektedir.”

Güvenlik uzmanları, 16 milyondan fazla kişinin kişisel verilerinin ele geçirildiği saldırılardan etkilenen toplam 150 kuruluş sayıyor.

Cyjax’ın bilgi güvenliği başkanı Ian Thornton-Trump, Information Security Media Group’a Clop’un kuruluşun verilerine yetkisiz erişim elde etmede çok başarılı göründüğünü söyledi – tamamen Progress Software’in şu anda açık olan MoveIT hizmetini/cihazını istismar ederek değil. kalıcı enjeksiyon güvenlik açıkları nedeniyle üçüncü yaması.

Thornton-Trump, “Bu veri kümesinde hassas verilerin bulunduğuna dair hiçbir şüphem yok ve şirketlerin, bir tedarik zinciri iş ortağı uzlaşması yoluyla doğrudan veya dolaylı olarak kuruluşun potansiyel maruz kalma durumunu belirlemek için veri ihlali/fidye yazılımı ekosistemini aktif olarak izlemesi gerekiyor.” söz konusu.

Şirketler tarafından onlarca yıldır kullanılan ve sağlam iş süreçlerinin bir parçası olan eski yazılım parçalarının, Clop ve diğerleri gibi tehdit aktörlerinin hızlı istismar geliştirme yeteneklerine uygun olmadığını söyledi.

Thornton-Trump, dışa dönük hizmetlerin eski olduğunu ve web uygulaması güvenlik duvarları, çok faktörlü hesap korumalarına sahip beyaz liste erişim kontrolleri ve sürekli olarak izlemek için SIEM/SOAR yetenekleri gibi yerinde kontrolleri hafifletmeden son derece savunmasız olan zayıf ve güvensiz kod ve protokoller içerdiğini söyledi. ve anormal davranış arayın.

Araştırmacılar, “Bu savunmasız hizmet, uzun süredir altyapınızın bir parçasıysa, siber suçluların bunu bilmesi ve onu birincil öncelik olarak hedeflemesi için büyük bir şans var” dedi.

Kritik SQL Enjeksiyon Hatası

MOVEit Transfer uygulamasının sıfır gün güvenlik açığının keşfedilmesi, diğer güvenlik açıklarını ortaya çıkardı. Yönetilen dosya aktarımı web uygulamasını etkileyen üçüncü bir kritik SQL enjeksiyon güvenlik açığını ortaya çıkarmanın yanı sıra, Progress Software’deki araştırmacılar yakın zamanda iki yüksek önem dereceli hata bildirdiler (bakınız: Son MOVEit Hatası Bir Başka Kritik SQL Enjeksiyon Kusurudur).

Progress Software bir güvenlik danışma belgesinde, CVSS puanı 9.8 olan ve CVE-2023-36934 olarak izlenen kritik düzeydeki hatanın, uzaktaki saldırganların etkilenen sistemlerde kimlik doğrulamasını atlamasına ve rasgele kod yürütmesine izin verdiğini söyledi.

En son güvenlik açığı, geçtiğimiz ay Clop fidye yazılımı grubu tarafından şantaj amacıyla yüzlerce kurban kuruluştan veri sızdırmak için aktif olarak kullanılan ilk güvenlik açığı olan CVE-2023-34362 ile ortak noktalara sahip. Gasp Grubu Clop’un MOVEit Saldırıları 130’dan Fazla Kurbanı Vurdu).