Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , Yama Yönetimi
Rusça Konuşan Haraç Operasyonu, 14 Haziran’da Kurbanları Listelemeye Başlayacağını Söyledi
David Perera (@daveperera) •
6 Haziran 2023
Clop hizmet olarak fidye yazılımı çetesi, Progress Software’in MOVEit tarafından yönetilen dosya aktarım uygulamasındaki bir güvenlik açığından yararlanan bir dizi saldırının arkasındaki aktörün kendisi olduğunu söyledi.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
Clop, karanlık web sızıntı sitesinde Salı günü yaptığı bir gönderide, büyük harflerle MOVEit kusurunu yüzlerce şirketten bilgi indirmek için kullandığını söyledi. “Çok indiriyoruz [sic] İstisnai istismarın bir parçası olarak verilerinizin. Rusça konuşan suç çetesi, bu tür saldırıları gerçekleştiren ve rahatlayan tek kişiyiz çünkü verileriniz güvende.
Clop’un iddiası beklenmedik değil; Microsoft bu hafta saldırıları, bilgi işlem devinin Lace Tempest olarak izlediği Clop üyesi FIN11’e bağladı (bkz: Microsoft, MOVEit Transfer Hack’i Clop Ortağına Atfediyor).
Çete temsilcilerinin Pazartesi günü Bleeping Computer ve bir Reuters ile olan iletişimlerinde saldırıların sorumluluğunu üstlendiği bildirildi. muhabir.
Clop, kurbanlardan ilk önce haber almadığı takdirde 14 Haziran’dan itibaren kurbanların isimlerini yayınlamaya başlayacağını söyledi. Ayrıca, “hükümet, şehir veya polis teşkilatı” kaynaklarından elde edilen verileri, “Bu tür bilgileri ifşa etmeye ilgimiz olmadığı için” sildiğini iddia etti.
Information Security Media Group, Clop’un iddialarını bağımsız olarak doğrulayamadı. Çete, bu yılın başlarında düzinelerce kurbana saldırmak için Fortra tarafından yapılan başka bir dosya aktarım uygulamasındaki bir güvenlik açığını kullandı.
27 Mayıs’ta tehdit aktörleri, CVE-2023-34362 olarak izlenen MOVEit güvenlik açığından aktif olarak yararlanmaya başladı. Progress Software, 2 Haziran’da bir yama yayınladı.
Siber güvenlik firması GreyNoise, güvenlik açığıyla ilişkili tarama etkinliğini 3 Mart gibi erken bir tarihte tespit ettiğini söyledi. Firma, taramaları gerçekleştiren internet protokol adreslerinin kötü niyetli kaynaklardan geldiğini de sözlerine ekledi.
MOVEit kusuru, bilgisayar korsanlarının sunucu veritabanına erişmesini sağlayan bir SQL enjeksiyon güvenlik açığıdır. Mandiant, “büyük hacimli dosyaların çalındığı birden fazla vakanın” farkında olduğunu söyledi. Mandiant, bilgisayar korsanlarının Azure sistem ayarlarını çalmış olabileceği konusunda da uyardı.
Bilinen kurbanların listesi şimdilik kısa ama İngiliz maaş bordrosu sağlayıcısı Zellis’i de içeriyor. Etkilenen firmalar arasında British Airways ve Aer Lingus’un yanı sıra BBC ve Birleşik Krallık eczane zinciri Boots yer alıyor.
Kanada eyaleti Nova Scotia hükümeti, MOVEit bilgisayar korsanlarının bölge sakinlerinin kişisel bilgilerini ihlal ettiğini kabul etti. Rochester Üniversitesi ayrıca Cuma günü dosya aktarım yazılımına yönelik bir siber güvenlik saldırısını araştırdığını söyledi. Bir üniversite sözcüsü, söz konusu yazılımın MOVEit olduğunu hemen doğrulamadı. Progress Software’in bir temsilcisi de yorum talebini hemen geri göndermedi.