Clop (namı diğer Cl0p) siber şantaj çetesi, Progress Software’in MOVEit dosya aktarım ürünündeki bir SQL enjeksiyon güvenlik açığı yoluyla tehlikeye atılan kuruluşlarda bir dizi büyük güvenlik ihlalinin arkasında olduğunu doğruladı ve çaldığı verileri yedi gün içinde yayınlamaya başlamakla tehdit ediyor ‘ zaman.
Rusya merkezli siber suçlular tarafından şantaja uğrayan kuruluşlar arasında BBC, Boots ve British Airways (BA) yer alıyor ve bunların tümü, bordro ve insan kaynakları yazılım ve hizmetleri tedarikçisi MOVEit kullanıcısı Zellis tarafından mağdur edilmiş görünüyor. Üç kuruluşta da 100.000’den fazla bireysel çalışanın verilerinin çalındığı düşünülüyor.
Zellis aracılığıyla tehlikeye atılan diğer bilinen kurbanlar arasında New York eyaletindeki Rochester Üniversitesi ve Kanada’daki Nova Scotia eyalet hükümeti yer alıyor.
Computer Weekly tarafından incelenen dark web sızıntı sitesinde yayınlanan bir açıklamada, Clop’un sızma testi hizmeti verdikleri yanılsamasıyla çalışmaya devam eden ajanları, çetenin yüzlerce şirketten veri çaldığını belirtti.
“Bu duyuru, Progress MOVEit ürününü kullanan şirketleri istisnai istismarın bir parçası olarak verilerinizin büyük bir kısmını indirdiğimiz konusunda eğitmek için duyurulmuştur. Operatör, böyle bir saldırı gerçekleştiren ve rahatlayan tek kişiyiz çünkü verileriniz güvende” dedi.
Clop çetesi kurbanlara 14 Haziran Çarşamba gününe kadar kendileriyle iletişime geçmeleri için süre veriyor, aksi takdirde ayrıntılarını ve verilerini sızıntı sitesinde yayınlayacak. Siber fidye müzakerelerinde standart bir uygulama haline geldiği üzere, kurbanlara niyetinin kanıtı olarak çalınan materyalin küçük bir bölümünü gözden geçirme şansı sunuyor.
Operatör, hükümetlerden, şehir yetkililerinden ve kolluk kuvvetlerinden elde edilen tüm verileri sildiğini ve bu tür bazı kuruluşların ele geçirildiğini ima ettiğini ekledi.
Bir BBC sözcüsü şunları söyledi: “Üçüncü taraf tedarikçimiz Zellis’te bir veri ihlali olduğunun farkındayız ve ihlalin boyutunu acilen araştırırken onlarla yakın bir şekilde çalışıyoruz. Veri güvenliğini son derece ciddiye alıyoruz ve belirlenmiş raporlama prosedürlerini takip ediyoruz.”
Computer Weekly, en son gelişmelerle ilgili olarak BA ve Boots ile temasa geçti, ancak yayın tarihinde hiçbir kuruluş yanıt vermemişti.
MOVEit kullanıcıları için sonraki adımlar
Küresel bir teknoloji ve yetenek sağlayıcısı olan Nash Squared’in CISO’su Jim Tiller, MOVEit’i kullanan herhangi bir kuruluşun artık verilerinin veya müşterilerinin verilerinin artık Clop’un elinde olduğunu varsayması gerektiğini söyledi.
Tiller, “Bu kuruluşların, gasp için en büyük tehdidi neyin oluşturduğunu anlamak ve buna göre önceliklendirmek için çalınmış olması muhtemel tüm bilgi varlıklarını acilen gözden geçirmesi ve sınıflandırması gerekiyor” dedi.
“Buradan itibaren, bilgilerin yalnızca şirkete değil, aynı zamanda müşterileri, ortakları, bağlı kuruluşları ve bilgi alışverişinde bulunulan taraflara ifşa edilmesiyle ilgili riskleri değerlendirmekle ilgili. Bu kritik adımlar olmadan fidye taleplerine yanıt vermek ve bir eylem planı belirlemek reaktif ve etkisiz olacaktır.”
Tiller ayrıca, kuruluşların aynı veriler için birden fazla kuruluşun istismar edilebileceği gerçeğini kabul etmeleri gerektiğini, bu nedenle bir kurban ödeme yapsa bile, başka bir taraf Clop’un taleplerine direnirse bilgilerinin yine de sızdırılabileceğini açıkladı.
Ne yazık ki bunun çok kiracılı bir bulut ortamının doğasında var olan risklerden biri olduğunu ve ödemelerin siber sigorta poliçeleri tarafından karşılanmayacağı anlamına da gelebileceğini söyledi.
“Birçok sigortacının, bu tür saldırıları kapsam dışında bırakan, Allah’ın amellerine veya kitlesel olaylara çok benzeyen hükümleri olacaktır. Bu nedenle şirketler, politikalarını sağlayıcılarıyla henüz gözden geçirmediyse, mümkün olan en kısa sürede gözden geçirmeleri gerekiyor” dedi.
ESET’in küresel siber güvenlik danışmanı Jake Moore şunları ekledi: “Siber suçlulara fidye talep edilmesi asla tavsiye edilmese de, hedef alınan bazı şirketlerin baskıya boyun eğmesi kaçınılmaz bir risktir. Bu sadece yangını körükleyecek ve bu yıkıcı suç grubunun döngüsünü devam ettirecektir.
“Etkilenen şirketlerin, çalışanlarına ve müşterilerine kendilerini nasıl koruyacakları ve takip eden kimlik avı ve smishing saldırılarını nasıl tespit edecekleri konusunda destek sunanlara karşı açık ve dürüst olmaları daha önemli.”
Fidye yazılımı olmayan fidyeler
Daha önce bildirildiği gibi, Clop’un yararlandığı MOVEit güvenlik açığının (CVE-2023-34362) doğası gereği, gerçek bir fidye yazılımı dolabını dağıtmak için yeterli erişim sağlama olasılığı düşüktür ve bilinen kurbanlardan herhangi birinin sistemlerini şifrelediğine dair bir kanıt yoktur.
Bu, olayı doğrudan bir veri hırsızlığı ve gasp vakası, giderek daha yaygın hale gelen bir şey ve Clop’un önceki suç çılgınlığı sırasında tercih ettiği bir taktik haline getiriyor.
Moore, Clop tarafından bu kez benimsenen yaklaşımın normdan daha fazla saptığını çünkü daha tipik olarak kurbanlarına kendileri tarafından seçilen önceden belirlenmiş bir miktarda fidye talepleri göndereceğini söyledi. Bu, bu örnekte olmadı.
“Bu karar muhtemelen, dünya çapında hala çok sayıda sistemi etkileyen ve potansiyel olarak Clop’un yeteneklerini aşan, devam eden hack’in ezici büyüklüğünden kaynaklanıyor” dedi.