Daha önce tehdit ettiği gibi, Clop siber suç karteli, gasp girişimine direnen Progress Software’in MOVEit yönetilen dosya aktarım ürünündeki bir SQL enjeksiyon kusuru yoluyla ele geçirildiği iddia edilen kurbanları alenen isimlendirmeye başladı.
Rusya merkezli olduğuna inanılan Clop, geçen hafta MOVEit Transfer ürününün kullanıcılarına taleplerini yerine getirmek için yedi günleri olduğunu söyledi. Bu süre dün geçti (14 Haziran) ve sözüne sadık kalan Clop, İngiltere saatiyle 18:00 civarında karanlık ağ sızıntı sitesine toplam 12’ye kadar yeni kurbanların ayrıntılarını eklemeye başladı.
İlk isimler arasında akaryakıt devi Shell, ABD’deki Georgia Üniversitesi ve yatırım fonu Putnam yer alıyor. Ayrıca bir dizi ABD bankası ve Hollanda ve İsviçre’deki kuruluşlar da dahildir.
Bir Shell sözcüsü, örgütün olaydan etkilendiğini doğruladı. “Az sayıda Shell çalışanı ve müşterisi tarafından kullanılan, Progress’in MOVEit Transfer adlı üçüncü taraf aracını etkileyen bir siber güvenlik olayının farkındayız” dediler.
“Shell’in temel BT sistemleri üzerinde bir etkisi olduğuna dair bir kanıt yok. BT ekiplerimiz araştırıyor. Bilgisayar korsanlarıyla iletişim kurmuyoruz.”
Computer Weekly, etkilenen diğer bazı kuruluşların aksine Shell’in üçüncü taraf bir tedarikçinin veya yüklenicinin sistemlerinden etkilenmediğini anlıyor.
Daha birçok isim gelecek
Clop’un sızıntı sitesinde – bu yazının yazıldığı sırada – görünmeyen birkaç bilinen MOVEit kurbanının isimleri, aralarında BBC, Boots, British Airways, Ofcom ve TfL.
Bununla birlikte, ele geçirdiği kurban sayısının yüksek olması nedeniyle – geçen hafta 2.000’den fazla MOVEit Transfer örneği halka açık internete maruz kaldı ve bu rakam, bulut sunucusu sahiplerinin güvenliği ihlal edilmiş müşterilerini içermediğini belirtmek önemlidir – Clop muhtemelen serbest bırakılmasını şaşırtıcı.
Bu nedenle, bu erken aşamada bazı yüksek profilli isimlerin ortaya çıkmaması, kurbanların Clop’la görüştüğünün veya bir fidye ödediğinin bir göstergesi değildir ve böyle bir işaret de çıkarılmamalıdır.
Secureworks Karşı Tehdit Birimi tehdit araştırma direktörü Chris Yule, siber suçluların kurbanları çözmesinin muhtemelen biraz zaman alacağını söyledi.
“Bir çöplük mü yoksa damlama yemi mi olacağı henüz belli değil. [but] GoAnywhere kurbanları, 14 günlük bir süre boyunca gruplar halinde gönderildi,” dedi Yule.
“Clop’un yayınladığı ilk isimler arasında ABD merkezli bir dizi finansal hizmet şirketi de var. Yükleme henüz yeni başlamış olsa da, internetteki MOVEit sunucularının çoğu ABD’de bulunduğundan kurbanların dengesinin büyük olasılıkla ABD’de olacağını tahmin ediyoruz.”
Picus Security’de tehdit araştırmacısı olan Hüseyin Can Yüceel, kurbanlarının ayrıntılarını daha yavaş ifşa etmenin başkalarını fidye ödemeye zorlamaya yarayabileceğini ve Clop’un tehditlerinde blöf yapmadığının açık olduğunu söyledi.
Bundan sonra kurbanların yapması gerekenler
Şu ana kadar kurban sistemlerinin hiçbirinde fidye yazılımı dolabı yürütülmemiş olsa da – bu, Clop’un bu tür durumlardaki işleyiş biçimiyle tutarlıdır – bir veri hırsızlığı ve şantaj olayıyla nasıl başa çıkılacağına ilişkin oyun kitabı, genel olarak veri şifrelemenin olduğu bir duruma benzer. gerçekleşti.
“Önleme, fidye yazılımı saldırılarına karşı her zaman bir numaralı önceliktir. [Afterwards] Yapılabilecek pek bir şey yok” dedi Can Yüceel.
“Yedekler yerinde olsa bile, fidye yazılımı grupları kurbanlarının hassas verilerini açığa çıkarabilir ve itibarlarına zarar verebilir. Fidye yazılımı grupları ödemeden sonra şifre çözme anahtarını teslim etmeyebileceğinden, kolluk kuvvetleri işletmelere fidye ödememelerini tavsiye ediyor. Fidye ödemelerinin başka riskleri de vardır.
“Fidyeyi ödediği bilinen kuruluşların gelecekte aynı veya başka fidye yazılımı grupları tarafından hedef alınma olasılığının çok daha yüksek olduğunu gözlemledik. Fidye ödemeleri ayrıca fidye yazılımı tehdidini devam ettirebilir ve diğer yasa dışı faaliyetleri finanse etmek için kullanılır.”
Can Yüceel, Birleşik Krallık’ın büyüyen mağdur listesine göre – artık aralarında Legal & General, AON ve Allianz’ın da bulunduğu müşterilerle finans ve sigorta sektörü için uzman bir müşteri iletişim hizmetleri tedarikçisi olan Adare SEC’in de dahil olduğu – ilişki kurma veya ödeme yapma konusunda özellikle dikkatli olunması gerektiği konusunda uyardı Rus suç örgütlerine yapılan ödemeleri kapsayan katı mali düzenlemeler nedeniyle bir fidye.
Mali Yaptırımlar Uygulama Dairesi, fidye ödemelerini ciddi bir suç olan ve hapis ve para cezası getirebilecek mali yaptırımların ihlali olarak değerlendiriyor” dedi.
“Birleşik Krallık’taki kurbanlar bu nedenle saldırıyı Ulusal Siber Güvenlik Merkezine bildirmeli ve gerekirse siber olayı yönetmek için destek talep etmelidir.”