Clop fidye yazılımı çetesi, BleepingComputer’a MOVEit Transfer veri hırsızlığı saldırılarının arkasında olduklarını söyledi.
Bu, Microsoft’un TA505 ve FIN11 olarak da bilinen ‘Lace Tempast’ olarak izledikleri bilgisayar korsanlığı grubuna Pazar gecesi atıfını onaylıyor.
Clop temsilcisi ayrıca, Mandiant tarafından daha önce açıklandığı gibi, güvenlik açığından yararlanmaya 27 Mayıs’ta, uzun ABD Anma Günü tatili sırasında başladıklarını da doğruladı.
Tatillerde saldırı düzenlemek, daha önce personelin minimum düzeyde olduğu tatillerde büyük ölçekli istismar saldırıları gerçekleştiren Clop fidye yazılımı operasyonu için yaygın bir taktiktir.
Örneğin, Noel tatilinin hemen başında verileri çalmak için 23 Aralık 2020’de benzer bir Accellion FTA sıfır gün güvenlik açığından yararlandılar.
Clop, MOVEit Transfer saldırılarında ihlal edilen kuruluşların sayısını paylaşmazken, fidye ödenmediği takdirde kurbanların veri sızdıran sitelerinde görüntüleneceğini söylediler.
Ayrıca, fidye yazılımı çetesi, muhtemelen zamanı verileri gözden geçirmek ve neyin değerli olduğunu ve ihlal edilen şirketlerden fidye talebinden yararlanmak için nasıl kullanılabileceğini belirlemek için kullanarak kurbanlardan şantaj yapmaya başlamadıklarını doğruladı.
Çetenin son GoAnywhere MFT saldırılarında Clop, kuruluşlara fidye taleplerini e-posta ile göndermek için bir aydan fazla bekledi.
Sonunda, fidye yazılımı çetesi, BleepingComputer’a bu saldırılar sırasında hükümetlerden, ordudan ve çocuk hastanelerinden çalınan tüm verileri sildiğini söyledi.
Clop, BleepingComputer’a gönderdikleri e-postada, “Size hemen şunu söylemek istiyorum ki, orduya, çocuk hastanelerine, hükümetlere vb. saldıramayız ve verileri silindi.”
BleepingComputer’ın bu iddiaların doğru olup olmadığını doğrulamasının hiçbir yolu yoktur ve herhangi bir veri hırsızlığı saldırısında olduğu gibi, etkilenen tüm kuruluşlar buna, veriler kötüye kullanım riski taşıyormuş gibi davranmalıdır.
Clop bir fidye yazılımı operasyonu olarak başlarken, grup daha önce BleepingComputer’a şifrelemeden uzaklaştıklarını ve bunun yerine veri hırsızlığı gaspını tercih ettiklerini söylemişti.
İlk kurbanlar öne çıkıyor
Clop’un MOVEit veri hırsızlığı saldırılarında ihlal edilen kuruluşlardan da ilk açıklamalarımızı gördük.
İngiltere bordrosu ve İK çözümleri sağlayıcısı Zellis, bu saldırılar nedeniyle bazı müşterilerini de etkileyen bir veri ihlaline maruz kaldığını doğruladı.
Zellis, BleepingComputer’a yaptığı açıklamada, “Dünya çapında çok sayıda şirket, Progress Software’in MOVEit Transfer ürünündeki sıfır gün güvenlik açığından etkilendi.”
“Az sayıda müşterimizin bu küresel sorundan etkilendiğini doğrulayabiliriz ve onları desteklemek için aktif olarak çalışıyoruz. Zellis’e ait hiçbir yazılım etkilenmedi ve BT varlığımızın başka herhangi bir bölümünde ilgili bir olay veya güvenlik ihlali yok. .”
“Bu olayın farkına varır varmaz hemen harekete geçtik, MOVEit yazılımını kullanan sunucunun bağlantısını kestik ve adli tıp analizine ve devam eden izlemeye yardımcı olması için uzman bir harici güvenlik olayı müdahale ekibini görevlendirdik. Ayrıca ICO, DPC ve NCSC’yi bilgilendirdik. hem İngiltere’de hem de İrlanda’da.”
Aer Lingus, BleepingComputer’a Zellis MOVEit uzlaşması yoluyla bir ihlal yaşadıklarını doğruladı.
Aer Lingus’tan yapılan açıklamada, “Ancak, bu olayda Aer Lingus’un mevcut veya eski çalışanları ile ilgili hiçbir finansal veya banka detayının ele geçirilmediği doğrulanmıştır.”
“Aer Lingus’un mevcut veya eski çalışanlarıyla ilgili hiçbir telefon iletişim bilgisinin ele geçirilmediği de doğrulandı.”
The Record tarafından bildirildiği üzere British Airways, Zellis ihlalinin onları etkilediğini de doğruladı.
Ne yazık ki, yönetilen dosya aktarım platformlarında önceki Clop saldırılarında gördüğümüz gibi, zaman geçtikçe büyük olasılıkla uzun bir şirket açıklamaları dizisi göreceğiz.