Siber yetkililer, Progress Software’in MOVEit dosya aktarım hizmetini kullanan kuruluşları yaygın sömürü arasında sıfır gün güvenlik açığı satıcı ilk geçen hafta açıklandı.
TA505 olarak da bilinen Clop fidye yazılımı grubu, salı günü karanlık web sitesinde bir açıklama yayınladı. verileri sızdırmak için MOVEit güvenlik açığından yararlandı yüzlerce kuruluştan
Üretken fidye yazılımı operatörü, kurbanların kuruluşla iletişim kurması için 14 Haziran’a kadar bir başlangıç tarihi belirledi. O zamana kadar tehdit aktörüyle iletişim kurmayan ve bu ayın sonunda çalınan verileri sızdırmaya başlayacak olan kuruluşları sızıntı sitesinde listelemekle tehdit etti.
“TA505’in bu güvenlik açığından yararlandığı hız ve kolaylık nedeniyle ve geçmiş kampanyalarına dayanarak FBI ve CISA, yamasız yazılım hizmetlerinin hem özel hem de genel ağlarda yaygın olarak kullanıldığını görmeyi bekliyor.” Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI Çarşamba günü yaptığı açıklamada ortak danışma.
Bu, şu anda bu yıl bir dosya aktarım hizmetiyle bağlantılı üçüncü yüksek profilli, aktif olarak yararlanılan sıfır gün güvenlik açığıdır. Clop, bu tedarik zinciri saldırılarının ikisinden sorumludur. sıfır gün güvenlik açığı Fortra’nın GoAnywhere dosya aktarım hizmetinde Mart ayında istismar edilen grup.
Clop da sorumluydu. Accellion’a karşı sıfırıncı gün istismara dayalı kampanya 2020 ve 2021’de dosya aktarım cihazları.Federal yetkililer danışma belgesinde, “2021’den başlayan son kampanyalarda Clop, şifreleme yerine çoğunlukla veri hırsızlığına güvenmeyi tercih etti” dedi.
Clop’un son saldırı serisinden önce, CISA ve FBI, tehdit aktörü grubunun ABD merkezli 3.000’den fazla kuruluşu ve başka yerlerde yerleşik 8.000 kuruluşu ele geçirdiğini tahmin ediyordu.
Rick Holland, Başkan Yardımcısı ve CISO ve ReliaQuest, Clop’un taktiklerindeki bu değişikliğin altını çizdi. Holland, e-posta yoluyla, “Clop tehlikeli bir fidye yazılımı grubudur ve çalınan verileri gasp etmeyi ilk benimseyenlerden biriydi, yalnızca fidye yazılımı değil,” dedi.
“Sıfır gün güvenlik açıklarından yararlanma eğilimleri göz önüne alındığında, birçok gasp grubunun ötesinde bir teknik yetenek sergiliyorlar. Clop’un hangi kurbanları gasp ettikleri konusunda seçici olduğu biliniyor – başlangıçta birçok kurbanı tehlikeye atıyorlar, ancak sınırlı kaynaklarını fidye ödeyecek kaynaklara sahip daha büyük kuruluşlara odaklamayı tercih ediyorlar,” dedi Holland.
Bu amaçla Clop, geniş MOVEit güvenlik açığı istismar ağına yakalanan devlet kurumları, şehirler veya polis departmanlarından gelen bilgileri ifşa etmekle ilgilenmediğini iddia etti ve verilerin silindiğini söyledi.
Büyük potansiyel kurban havuzu
Clop’un MOVEit sıfır gün güvenlik açığından kitlesel olarak yararlanması nedeniyle potansiyel olarak tehlikeye atılan kurbanların sayısı, grubun karanlık ağdaki açıklamasında verdiği bazı talimatlarla örnekleniyor.
Mandiant Consulting CTO’su Charles Carmakal Salı günü yaptığı açıklamada, Clop’un “kurbanların sayısından bunaldığını” söyledi. LinkedIn gönderisi.
Carmakal, “Önceki kampanyalarda olduğu gibi mağdurlara e-posta veya telefon görüşmeleri yoluyla doğrudan ulaşmak yerine, mağdurlardan onlara e-posta yoluyla ulaşmalarını istiyorlar” dedi. “14 Haziran’a kadar kendilerine ulaşamayan kurbanların isimlerini utandırma sitelerinde yayınlamakla tehdit ediyorlar. Bu tam bir fiyasko olacak.”
Uzmanlar, güvenlik açığından yararlanma zaman çizelgesi konusunda ikiye bölünmüş durumda. Progress, geçen haftadan önce MOVEit güvenlik açığının herhangi bir aktif istismarından haberdar olmadığını söylerken, Trustwave, en az Şubat ayından bu yana MOVEit uygulamasından yararlanan kaynak IP’lerin faaliyetini gözlemlediğini söyledi.
Mandiant, istismarın bilinen en eski kanıtını 27 Mayıs’a bağlıyor, ancak tehdit aktörünün 15 Mayıs’ta MOVEit örneklerinde keşif yürüttüğünü gözlemlediğini söyledi.
Siber yetkililer, olay müdahale firmaları, tehdit avcıları ve araştırmacılar, kuruluşların potansiyel maruziyeti değerlendirmesine ve buna göre yanıt vermesine yardımcı olmak için algılama yöntemleri, güvenlik ihlali göstergeleri ve gözlemlenen diğer kötü amaçlı faaliyetler dahil olmak üzere tüm ortak bulgulara sahiptir.
Mandiant 31 sayfalık bir yayın yayınladı. çevreleme ve sertleştirme kılavuzu Salı günü MOVEit müşterileri için.
İlerleme, Clop’un veri sızdırma tehditleri veya iddia edilen kurban organizasyon sayısı hakkındaki soruları yanıtlamayı reddetti. Şirket, CISA, CrowdStrike, Mandiant, Microsoft, Huntress ve Rapid7’nin olay müdahalesi ve devam eden soruşturmalarda Progress’e yardımcı olduğunu söyledi.
Holland, “Önümüzdeki haftalarda ve aylarda oynamaya devam edecek olan MOVEit sıfır gün güvenlik açığı kampanyasının hala erken aşamalarındayız” dedi. “Mevcut bu kampanyadaki kurbanların sayısı henüz görülmedi, ancak savunmasız MOVEit çözümlerini internete ifşa eden herhangi bir kuruluş ihlali kabul etmelidir.”