Clop siber suç çetesinin, Progress Software’in MOVEit Transfer aracını toplu bir şekilde ihlal ederek verileri çalınan kurbanlar için belirlediği son tarih, bugün (14 Haziran) geçti.
Çete, Mayıs ayının sonundan bu yana bir SQL enjeksiyon güvenlik açığı yoluyla MOVEit yönetilen dosya aktarım ürününün birden çok kullanıcısını vurdu ve çoğu Birleşik Krallık’ta olmak üzere yüzbinlerce kişinin kişisel verilerini çaldı. Fidye yazılımı dolabını kamuya açıklanan vakaların hiçbirinde çalıştırdığı bilinmiyor, ancak bunun yerine çalınan verileri yayınlamamak için onlardan zorla para almayı planlıyor.
İngiltere’deki bilinen kurbanlar arasında BBC, Boots, British Airways, EY ve Ofcom yer alıyor. Bu kuruluşların çoğu, üçüncü taraf BT tedarikçileri ve diğer yükleniciler, özellikle İK ve bordro yazılımı tedarikçisi Zellis tarafından hedef alındı. Extreme Networks’ün de hedef alındığı biliniyor, ancak bunun dışında sessizliğini korudu. Kanada, İrlanda, Malezya ve ABD’de çok sayıda başka kurban bildirildi.
Bu yazının yazıldığı sırada henüz hiçbir veri yayınlanmamıştı ve SonicWall EMEA başkan yardımcısı Spencer Starkey, kurbanları çetenin tehditleri ve ihtişamı karşısında çizgiyi korumaya çağırdı.
“Zaman yaklaştıkça, MOVEit hack’inden etkilenen işletmeler hacker’lara ödeme yapıp yollarına devam etme eğiliminde olabilir. Bu, bunu çözmenin en hızlı yolu gibi görünse de aslında canavarı besliyor ve daha fazla saldırıyı teşvik ediyor” dedi Starkey.
Öte yandan, ödeme yapmamak potansiyel veri kaybına ve sistemleri geri yükleme maliyetine yol açabilir, ancak aynı zamanda bu suç operasyonlarını aç bırakmaya yardımcı olur ve gelecekteki saldırıları caydırabilir.
“Bu aşamada anahtar müşteri ve çalışan iletişimidir. Etkilenen şirketler, her zaman bu kanalların her iki yönde de akmasını sağlamaya çalışmalı ve etkilenebilecek kişilere olayı atlatmak ve olayı çözmek için mümkün olan her şeyi yaptıklarına dair güvence vermelidir” dedi.
Palo Alto Networks Unit 42’de tehdit istihbaratı analisti olan Alex Hinchcliffe, kurbanları işbirliği yapmazsa Clop’un tehditlerini yerine getireceğini söyledi.
“2021’den beri bu grubu takip ettiğimiz için son derece agresif olduklarını biliyoruz. Kurbanlar fidyeyi ödemediğinde veya tehditleri görmezden geldiğinde, gizli verileri kamuya açıklanır. Clop’un arkasındaki tehdit aktörleri, üst düzey yöneticilerin iş istasyonlarını hedeflemek, çalışanları doxxing yapmak ve ihlallerini muhabirlere duyurmak gibi çeşitli şantaj tekniklerinden de yararlanıyor” dedi.
“Açıkta kalan sunucuların sayısı düşük görünse de, prestijli kurbanların mevcut çetelesi, bu grubun kötü amaçlı spam yoluyla iletilen fidye yazılımlarından yüksek profilli kuruluşlara yönelik hedefli kampanyalarda kullanılmaya nasıl geçtiğini doğruluyor.”
MOVEit olayının ardından veri ihlallerine maruz kalan Birleşik Krallık kuruluşlarının listesi, Transport for London’ın (TfL) bir kurban olarak onaylanmasıyla büyümeye devam ediyor.
Başkent genelinde otobüs ve metro hizmetleri yürüten kuruluş, daha önce kendisini Progress’in müşterileri arasında saymasına rağmen, MOVEit yazılımını kullanan bir yüklenici aracılığıyla ele geçirildiğini söyledi.
Bir TfL sözcüsü BBC’ye şunları söyledi: “Sorun düzeltildi ve BT sistemleri güvenli hale getirildi. Söz konusu veriler banka detaylarını içermiyordu ve olaydan haberdar olmaları için olaya karışan herkese yazıyoruz.”
Bilgilendirilenler, Londra’nın Trafik Sıkışıklığı Ücretini ödeyen veya Ultra Düşük Emisyon Bölgesi’nde (ULEZ) daha eski, daha kirletici bir araç kullanmak için verileri ifşa edilmeyen yüklenici tarafından bir veri tabanında tutulan yaklaşık 13.000 sürücüden oluşuyor. Kuzey ve Güney Dairesel yollarla sınırlanan alan.
TfL ayrıca, her yıl yaklaşık 2,5 milyar yolculuk yapan yolcuları hakkında hiçbir verinin ele geçirilmediğini söyledi.