3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Çete, 50’den Fazla Hack’in Sorumluluğunu Üstlendi, İhlal Fallout Birçok Büyük Markayı Vurdu
Prajeet Nair (@prajeetspeaks) •
25 Mart 2023
Şimdiye kadar, Fortra’nın yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’deki sıfır gün güvenlik açığını kullanan Clop fidye yazılımı grup kampanyası, 130 farklı kuruluş tarafından kullanılan ağları ele geçirdi. Çete şimdiye kadar 50’den fazla bilgisayar korsanlığının sorumluluğunu üstlendi.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Siber güvenlik analisti ve güvenlik araştırmacısı Dominic Alvieri Cuma günü talep edildi son 24 saat içinde yaklaşık 56 kurbanın Cl0p fidye yazılımı grubu tarafından ihlal edildiğini.
Listeye İngiliz çok uluslu şirketler grubu Virgin’s ödül kulübü, Virgin Red, Toronto Şehri, Rio Tinto, Rubrik, Axis Bank, Hitachi Energy, Saks Fifth Avenue, Procter and Gamble, UK’s Pension Protection Fund, Pluralsight, Münih RE ve diğerleri katıldı.
En son kurbanlar, Fransız dijital dönüşüm ve hibrit bulut şirketi Atos ve Hindistan, Goa hükümetidir.
Atos, hiçbir BT ortamının tehlikeye atılmadığını ve varsayılan sızıntının GoAnywhere MFT’de barındırılan belirli bir Nimbix dosya aktarım uygulamasıyla sınırlı olduğunu söylüyor.
“24 Mart’ta hacker grubu Clop, darknet üzerinden hassas Atos verilerinin ele geçirildiğini duyurdu. Müşterilerimize, tedarikçilerimize ve çalışanlarımıza durumun böyle olmadığına dair güvence vermek istiyoruz. Hiçbir fidye yazılımı hiçbir Atos BT sistemini etkilemedi.” bir açıklamada söyledi.
Şirket, yaptığı araştırmaya göre yalnızca 2021’de Atos tarafından satın alınan bir ABD şirketi olan Nimbix’in standart verilerini işlediğini tespit etti. Clop tarafından kullanıldı.
Açıklamada, “İlgili müşterilerle iletişim halindeyiz. Durumu aktif olarak izlemeye devam ediyoruz ve yukarıdaki bilgilerde herhangi bir değişiklik olursa daha fazla güncelleme sağlayacağız.”
Bir Virgin Red sözcüsü, Information Security Media Group’a, sağlayıcısı GoAnywhere’e yapılan bir siber saldırı yoluyla bazı Virgin Red dosyalarını yasa dışı bir şekilde ele geçiren Cl0p fidye yazılımı grubunun şirketle temasa geçtiğini söyledi.
Şirket, “Söz konusu dosyalar hiçbir kişisel veri içermediğinden müşteriler veya çalışanlar için herhangi bir risk oluşturmuyor” dedi.
Toronto Belediyesi ayrıca ISMG’ye yetkisiz bir tarafın üçüncü taraf bir satıcı aracılığıyla verilerine erişim sağladığını doğruladı. Şehir, aktörün 23 Mart’ta üçüncü taraf güvenli dosya aktarım sistemi aracılığıyla işlenemeyen dosyalara eriştiğini söyledi.
Sözcü, “Belediye, tespit edilen dosyaların ayrıntılarını aktif olarak araştırıyor. Toronto Belediyesi, bilgileri kendi gözetiminde ve kontrolünde olan Torontoluların mahremiyetini ve güvenliğini korumaya kararlı ve günlük olarak siber saldırıları başarıyla savuşturuyor” dedi.
Eğitim şirketi Pluralsight, ISMG’ye ürünlerinin ve altyapısının bu olaydan etkilenmediğini bildirdi.
“Pluralsight, platform kullanım verilerini profesyonel hizmetler müşterilerimize aktarmak için Fortra’nın Yönetilen Dosya Aktarımı ürünü GoAnywhere’i kullandı. Fortra bu olayı bize bildirdiğinde, hemen sonlandırdık. [the] Sözcü, “Ürünün kullanımından etkilenen tüm müşterilerimizi bilgilendirdik ve verileriyle ilgili potansiyel riskleri açıkladık” dedi.
Birleşik Krallık Emeklilik Koruma Fonu da mevcut ve eski çalışanlarından birkaçının potansiyel ihlalden etkilendiğini belirten bir bildiri yayınladı.
Şirket, “Her Yere Git’i kullanmayı hemen bıraktık ve Fortra ve güvenlik ortaklarımızla yakın işbirliği içinde çalışarak bir soruşturma başlattık. Hangi verilerin ele geçirilmiş olabileceğini anlamak ve potansiyel olarak etkilenen kişilerle iletişime geçmek en büyük önceliğimiz oldu” dedi.
Searchlight Cyber’de tehdit istihbaratı analisti olan Louise Ferrett, Clop’un üçüncü taraf yazılımlardaki güvenlik açıklarından yararlanarak bir dizi kuruluşu toplu olarak hacklediği ilk sefer olmadığını söylüyor. 2020’nin sonlarında ve 2021’in başlarında, sıfır gün güvenlik açıkları ve yeni bir web kabuğunun bir kombinasyonunu kullanarak Accellion’ın eski Dosya Aktarım Cihazı ile 100’den fazla kuruluşa saldırmak için benzer bir taktik kullandı.
Ferrett, “Bu kez operasyon, Fortra’nın GoAnywhere MFT güvenli dosya aktarım aracında CVE-2023-0669’u kullandı. Birden fazla kuruluşu hedef alan ve ardından bunları hızlı bir şekilde arka arkaya duyuran bu yaklaşım, Cl0p’yi diğer fidye yazılımı operasyonlarından ayırıyor,” diyor.
Olay ilk olarak, siber güvenlik yazılımı devi Rubrik’in GoAnywhere dosya aktarım yazılımındaki bir kusurdan yararlanan saldırganların kurbanı olduğunu duyurmasıyla ortaya çıktı. Saldırganlar tarafından yararlanılan güvenlik açığı CVE-2023-0669 olarak belirlenmiştir ve yönetilen dosya aktarım yazılımının 7.1.2’den önceki Windows ve Linux sürümlerinde bulunmaktadır.
GoAnywhere MFT’deki güvenlik açığı, saldırganların açıktan yararlanabileceği ve önce GoAnywhere MFT yönetim konsolunda kimlik doğrulaması yapmak zorunda kalmadan seçtikleri kodu uzaktan çalıştırabilecekleri bir kimlik doğrulama öncesi uzaktan kod yürütme hatasıdır.
Saldırının başarılı olması için yönetim konsolunun internete açık olması gerekir. Açıktan yararlanmaya yönelik bilinen ilk saldırılar 25 Ocak’ta başladı. 1 Şubat’ta Fortra bir güvenlik uyarısı ve hafifletme talimatları yayınladı. 7 Şubat’ta, kusuru gideren GoAnywhere MFT’nin 7.1.2 sürümünü yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi ve diğer federal kurumlar, tüm GoAnywhere MFT kullanıcılarını güvenlik açığını azaltmak için yazılımlarını hemen yükseltmeye veya geçici çözümler kullanmaya teşvik etti (bkz:: Yetkililer Sağlık Sektörünü Devam Eden Cl0p Tehditlerine Karşı Uyardı).
“Clop, bir hizmet olarak fidye yazılımı operasyonudur, bu da bazı bağlı kuruluşların saldırılarında onun fidye yazılımını kullandığı anlamına gelir. FIN11 ve TA505 gibi daha büyük siber suç çeteleriyle bağlantıları olması ve genellikle yüksek profilli kuruluşları hedef alması dikkate değerdir. Ferrett, “Şubat 2019’da CryptoMix fidye yazılımı türünün bir çeşidi olarak ortaya çıkan uzun ömürlülüğü” diyor.