Clop, GoAnywhere Kusuruyla Fidye Yazılımı Kurbanlarını Arttırmaya Devam Ediyor



GoAnywhere adlı yaygın olarak kullanılan bir dosya aktarım hizmetindeki bir güvenlik açığı, Clop fidye yazılımı grubunun yaklaşık 130 kuruluşu ihlal etmesine izin verdi. Haftalar sonra, genişleyen saldırıyla ilgili ayrıntılar hala ortaya çıkıyor.

Şimdiye kadar, bu ayrıntılar GoAnywhere ana şirketi Fortra’dan gelmiyordu. Kamuya açık veri ihlali açıklamalarıyla manşetlere çıkan kurban kuruluş oldu. CVE-2023-0669 kapsamında izlenen GoAnywhere MFT uzaktan kod yürütme güvenlik açığı yoluyla ihlal edildiğini açıklayan GoAnywhere müşterileri arasında şu ana kadar Community Health Systems, Hatch Bank, siber güvenlik şirketi Rubrik, Hitachi Energy ve Toronto Şehri yer alıyor. , toplandığında, milyonlarca kişinin özel verilerinin en kötü siber suç unsurlarına maruz kalmasını temsil eder.

Raporlara göre Clop siber suçluları, sızıntı sitelerinde 10 gün boyunca açıktan yararlanmayı 130’dan fazla şirkete sızmak için kullandıklarını iddia ederek kampanyalarının ayrıntılarını vermeye hevesliydi.

Forta, sürekli ifşaat akışı konusunda alenen sessizliğini korudu. Ancak bugün, Dark Reading’e, müşterilerinin şirket için bir iletişim ve siber güvenlik krizine dönüşen krizde gezinmelerine yardımcı olmaya kararlı olduğuna dair güvence veren bir açıklama yaptı.

Fortra, Dark Reading’e yaptığı açıklamada, “30 Ocak 2023’te, GoAnywhere MFTaaS çözümümüzün belirli örneklerinde şüpheli faaliyetlerden haberdar olduk” dedi. “Daha fazla yetkisiz etkinliği önlemek için bu hizmete geçici bir kesinti uygulamak ve şirket içi müşterilerimize gelişmiş bir yamayı uygulamayla ilgili talimatları içeren azaltma kılavuzunu paylaşmak da dahil olmak üzere, bunu ele almak için hemen birden fazla adım attık.”

Fortra, etkilenen kullanıcılarını destekleme taahhüdünü sürdürdüğünü de sözlerine ekledi.

Fortra’nın sözcüsünün yaptığı açıklamada, “Etkilenmiş olabilecek müşterileri bilgilendirmek için özenle çalışıyoruz ve bu güvenlik açığıyla ilgili bilgileri CVE kataloglarına eklemek için CISA ile koordineli olarak çalışıyoruz.” “Bunu çok ciddiye alıyoruz ve müşterilerimizin bu sorunu çözmek için azaltma adımlarını uygulamalarına yardımcı olmaya devam ediyoruz.”

Fortra’nın İletişimi Ateş Altında

GoAnywhere sıfır gün ile ilgili ilk raporlar 2 Şubat’ta siber güvenlik haber sitesi tarafından paylaşıldı KrebsOnGüvenlik, bir oturum açma sayfasının arkasına doldurulmuş danışma bilgisini bulduktan sonra, bilgileri halkın görmesi için basitçe yapıştırdı. Günler sonra Fortra tarafından bir yama yayınlandı. Sonraki günlerde yama gecikmesi üzerine bahis oynayan Clop fidye yazılımı tehdit aktörleri avantaj elde edebildi. 10 Şubat’ta, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), hatayı bilinen istismar edilen güvenlik açıkları kataloğu listesine ekledi.

Bununla birlikte, şirketler devam eden kampanyaya kapılmaya devam etti. Fortra’nın verdiği güvencelere rağmen, siber güvenlik analistleri, uzmanları ve gözlemcileri, şirketin iletişim eksikliğini ve mağdurlara ve hedeflere rehberlik etmede yavaş yanıt vermesini büyük ölçüde eleştiriyor. Saldırı yüzeyi de geniş, not edilmelidir: Web sitesine göre, GoAnywhere 3.000’den fazla kuruluşta her türlü belgeyi yönetmek için kullanılıyor. Ve Enlyft’ten alınan verilere göre, bunların çoğu büyük kuruluşlardır – en az 1.000 ve genellikle 10.000’den fazla çalışanı vardır – çoğunlukla Amerika Birleşik Devletleri merkezlidir.

Bu, iyi iletilmedi ve en iyi güvenlik ekiplerini bile yanıt vermeye zorladı.” Fenix24’ün kurucu ortağı Heath Renfrow, Fortra’dan yeni yayınlanan açıklamaya yanıt olarak Dark Reading’e anlatıyor. “Bu, güvenlik uzmanlarının her temeli kapsayacak birden fazla tehdit istihbaratı kaynağına – kendi sağlayıcılarının ötesinde – sahip olmasının ne kadar gerekli olduğunun iyi bir örneği. Bununla birlikte, şimdi iletildi ve çözümü kullanan herkesin hemen yama yapması gerekiyor.”

Netwrix güvenlik araştırmalarından sorumlu başkan yardımcısı Dirk Schrader, yavaş iletişimin özellikle bir yazılım tedarik zinciri saldırısı senaryosunda zararlı olabileceğini söyledi.

E-posta yoluyla, “Bir tedarik zinciri saldırısının daha fazla gelişmesini önlemek için, sıradaki ilk kurbanın ne olduğu hakkında açık ve ayrıntılı bir şekilde iletişim kurması çok önemlidir” dedi. “Bu zincirdeki diğer halkaların yaklaşmakta olan bir tehdide karşı hazırlanmasına yardımcı oluyor ve olası hasarı en aza indiriyor. Bu sıfır günle ilgili ayrıntıların zamanında açıklanmaması nedeniyle mevcut saldırının hızlandırılmış olması muhtemel.”

Dark Reading, Fortra’dan siber güvenlik olayını ele almasına yönelik eleştirilere yanıt vermesini istedi, ancak bir yanıt alamadı. Bu arada, Forta’nın müşterisi olan Toronto Belediyesi, ihlalle ilgili olarak Fortra ile olan iletişimi sorulduğunda, e-posta ile basit bir yanıt verdi: “Fortra, Şehir ile iletişim halindeydi ve bunu yapmaya devam ediyor.”

Bu, Clop fidye yazılımı kullanıcılarının böyle toplu bir ihlali ilk kez gerçekleştirmiyor. Rusya merkezli FIN11, Aralık 2020’de benzer bir Accellion sıfır gün kusurunun üzerine atlamak için Clop fidye yazılımını kullandı.



Source link