Clop fidye yazılımı çetesi, MOVEit veri hırsızlığı saldırılarından etkilenen şirketlere şantaj yapmaya başladı ve önce şirketin adlarını bir veri sızıntısı sitesinde listeledi;
Bu girişler, tehdit aktörlerinin sunucuda depolanan dosyaları çalmak için 27 Mayıs’ta MOVEit Transfer güvenli dosya aktarım platformundaki sıfırıncı gün güvenlik açığından yararlanmalarından sonra gelir.
Saldırıların sorumluluğunu üstlenen Clop çetesi, “yüzlerce şirketi” ihlal ettiğini iddia ederek ve müzakerelerin gerçekleşmemesi halinde isimlerinin 14 Haziran’da bir veri sızıntısı sitesine ekleneceğini söyledi.
Bir gasp talebi ödenmezse, tehdit aktörleri 21 Haziran’da çalınan verileri sızdırmaya başlayacaklarını söylüyor.
Clop şirketlere şantaj yapmaya başladı
Dün, Clop tehdit aktörleri, veri sızıntısı sitelerinde on üç şirketi listeledi, ancak bunların MOVEit Transfer saldırılarıyla ilgili olup olmadığını veya fidye yazılımı şifreleme saldırıları olup olmadığını belirtmedi.
O zamandan beri şirketlerden biri olan Greenfield CA, listelemenin ya bir hata olduğunu ya da müzakerelerin sürdüğünü belirterek listeden çıkarıldı.
Listelenen şirketlerden beşi, İngiliz çok uluslu petrol ve gaz şirketi Shell, UnitedHealthcare Student Resources (UHSR), University of Georgia (UGA) ve University System of Georgia (USG), Heidelberger Druck ve Landal Greenparks, o zamandan beri BleepingComputer’a şunları doğruladı: MOVEit saldırılarından değişen derecelerde etkilendiler.
Shell, yalnızca az sayıda çalışanın ve müşterinin etkilendiğini söyledi ve Landal, BleepingComputer’a tehdit aktörlerinin yaklaşık 12.000 misafirin adlarına ve iletişim bilgilerine eriştiğini söyledi.
University System of Georgia, University of Georgia ve UnitedHealthcare Student Resources, BleepingComputer’a saldırıyı hâlâ araştırdıklarını ve herhangi bir ihlal tespit edilirse ifşa edeceklerini söyledi.
Alman matbaa şirketi Heidelberger Druck, BleepingComputer’a MOVEit Transfer’i kullanırken analizlerinin bunun herhangi bir veri ihlaline yol açmadığını gösterdiğini söyledi.
Clop’un veri sızıntısı sitesinde de listelenen Putnam Investments, BleepingComputer’a konuyu incelediklerini söyledi.
Clop’un sitesinde listelenen diğer şirketler e-postalarımıza yanıt vermezken, Macnica güvenlik araştırmacısı Yutaka Sejiyama şu anda MOVEit Transfer platformunu kullandıklarını veya geçmişte kullandıklarını doğrulayan BleepingComputer ile paylaşılan veriler.
Halihazırda açıklanan veri ihlalleri
MOVEit Transfer ihlallerini hâlihazırda ifşa etmiş olan diğer kuruluşlar arasında Zellis (BBC, Boots ve Aer Lingus, Zellis aracılığıyla İrlanda’nın HSE’si), Rochester Üniversitesi, Nova Scotia hükümeti, ABD’nin Missouri eyaleti, ABD’nin Illinois eyaleti, BORN Ontario, Ofcam, Extreme Networks ve American Board of Internal Medicine.
Geçmişte Accellion FTA, GoAnywhere MFT ve SolarWinds Serv-U yönetilen dosya aktarımı saldırılarındaki sıfır gün güvenlik açıklarını kullanan benzer saldırılarda, tehdit aktörleri veri sızıntısını önlemek için 10 milyon dolar fidye talep etmişti.
BleepingComputer, şirketlerin fidye ödemek yerine veri ihlallerini ifşa etmeyi tercih etmesi nedeniyle GoAnywhere gasp girişimlerinde gasp operasyonunun çok başarılı olmadığını öğrendi.