Clop fidye yazılımı çetesi, Fortra GoAnywhere MFT güvenli dosya paylaşım çözümündeki sıfır gün güvenlik açığı kullanılarak verileri çalınan şirketlere şantaj yapmaya başladı.
Şubat ayında, GoAnywhere MFT dosya aktarım çözümü geliştiricileri, müşterileri, açığa çıkan yönetim konsollarında sıfırıncı gün uzaktan kod yürütme güvenlik açığından yararlanıldığı konusunda uyardı.
GoAnywhere, şirketlerin dosyalara kimin eriştiğine dair ayrıntılı denetim günlüklerini tutarken ortaklarıyla şifrelenmiş dosyaları güvenli bir şekilde aktarmalarına olanak tanıyan güvenli bir web dosya aktarım çözümüdür.
Güvenlik açığından nasıl yararlanıldığına dair hiçbir ayrıntı kamuya açıklanmasa da, kısa süre sonra bir kavram kanıtı istismarı yayınlandı ve ardından kusur için bir yama geldi.
GoAnywhere yamasının yayınlanmasının ertesi günü, Clop fidye yazılımı çetesi BleepingComputer ile temasa geçti ve saldırılardan kendilerinin sorumlu olduğunu söyledi.
Haraç grubu, açığı on gün boyunca 130 şirketten veri çalmak için kullandıklarını söyledi. O sırada BleepingComputer bu iddiaları bağımsız olarak doğrulayamadı ve Fortra e-postalarımıza yanıt vermedi.
O zamandan beri iki şirket, Community Health Systems (CHS) ve Hatch Bank, GoAnywhere MFT saldırılarında verilerin çalındığını açıkladı.
Clop, GoAnywhere müşterilerinden şantaj yapmaya başladı
Dün gece Clop fidye yazılımı çetesi, veri sızıntısı sitelerine yedi yeni şirket ekleyerek GoAnywhere saldırılarının kurbanlarını alenen istismar etmeye başladı.
Kurbanlardan yalnızca biri olan Hatch Bank’ın güvenlik açığı kullanılarak ihlal edildiği herkes tarafından biliniyor. Ancak BleepingComputer, listelenen diğer en az iki şirketin de bu kusur kullanılarak verilerinin çalındığını öğrendi.
Veri sızıntısı sitesindeki girişlerin tümü, verilerin açıklanmasının “yakında” olacağını belirtiyor, ancak çalındığı iddia edilen verilerin ekran görüntülerini içeriyor.
Kaynak: BleepingComputer
Ayrıca, BleepingComputer’a kurbanların fidye yazılımı çetesinden fidye talepleri almaya başladığı söylendi.
Tehdit aktörlerinin ne kadar talep ettikleri belirsiz olsa da, daha önce Aralık 2020’de Accellion FTA sıfır gün güvenlik açığını kullanarak benzer saldırılarda 10 milyon dolar fidye talep etmişlerdi.
Bu saldırılar sırasında, şantaj grubu dünya çapında yaklaşık 100 şirketten büyük miktarda veri çaldı ve tehdit aktörleri, milyonlarca dolarlık fidye talep ederken şirketlerden yavaş yavaş veri sızdırdı.
Accellion sunucuları saldırıya uğrayan kuruluşlar arasında, diğerlerinin yanı sıra enerji devi Shell, siber güvenlik firması Qualys, süpermarket devi Kroger ve Stanford Medicine, Colorado Üniversitesi, Miami Üniversitesi, California Üniversitesi ve Maryland Üniversitesi gibi dünya çapında çok sayıda üniversite yer alıyor. Baltimore (UMB).