3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Etkilenen Yaklaşık 140 Kuruluştan Sadece %7’si Kurban Sayısını Paylaştı
Mathew J. Schwartz (euroinfosec) •
29 Haziran 2023
Clop fidye yazılımı grubunun popüler dosya aktarım yazılımı MOVEit’e yönelik tedarik zinciri saldırısının daha fazla kurbanı gün ışığına çıkmaya devam ediyor. Güvenlik uzmanları, şu anda 15 milyondan fazla kişiden oluşan yaklaşık 140 kuruluşun etkilenmiş göründüğünü söylüyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Kesin kurban sayısı bilinmemekle birlikte, Clop tarafından veri sızıntısı sitesine gönderilen kurbanları takip eden araştırmacılar – fidye ödemeyecekleri için – ve veri ihlali bildirimleri artık bilinen en az 138 mağdur kuruluş sayıyor. Emsisoft’ta bir tehdit analisti olan Brett Callow, şimdiye kadar yalnızca yaklaşık 10 mağdur kuruluş, etkilenen bireylerin sayısını ölçen ihlal bildirimleri yayınladı ve bu da toplu olarak 15 milyondan fazla kişinin kişisel bilgilerinin çalınmasına neden oluyor tweet attı Perşembe.
Daha fazla kurban hala gün ışığına çıkabilir. İsimlerin yavaş yavaş damlaması, Clop’un gasp taktiklerinin bir parçasıdır. Çete, veri sızıntısı sitesinde “Büyük şirketlere bizimle iletişime geçmeleri için zaman tanımak için adları yavaşça sızdırıyoruz” diyor.
Clop’un şantaj talepleri basit: Çalınan verileri silme sözü karşılığında bir fidye ödeyin ve veri sızıntısı sitesinde kuruluşunuzun adı geçmeyecektir. Bu talepleri kaç kuruluşun kabul ettiği belirsizliğini koruyor.
Clop, 27 ve 28 Mayıs tarihlerinde Progress Software’in popüler MOVEit dosya aktarım yazılımındaki önceden bilinmeyen bir güvenlik açığını hedeflemeye başladı. Aktarım veritabanları”, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI bu ayın başlarında ortak bir uyarıda bulundu.
İlerleme, 31 Mayıs’ta CVE-2023-34362 olarak adlandırılan SQL enjeksiyon kusurunu belirledi ve yamaladı. Bundan kısa bir süre sonra, firma, saldırganların yararlanmadığı görünen iki sıfır gün güvenlik açığı daha buldu ve yama yaptı.
Saldırı kampanyasının sadece bir baş belası olmaktan çok daha fazlasına varıp varmayacağı henüz belli değil. Tabii ki, etkilenen kuruluşlar ihlali araştırmak ve mağdurları bilgilendirmek için ödeme yapmak zorunda kalacak.
CISA Direktörü Jen Easterly, ajansın şimdiye kadar Clop’un “fırsatçı” kampanyasından herhangi bir “önemli etki” görmediğini ve görmeyi beklemediğini bildiriyor. Easterly bu ayın başlarında gazetecilere verdiği demeçte, “Bu kampanya hakkında çok endişeli olsak da, bu SolarWinds gibi sistemik bir risk oluşturan bir kampanya değil.”
ABD hükümetinde şimdiden gün ışığına çıkan mağdurlar arasında Enerji ve Tarım departmanları ile Personel Yönetimi Ofisi yer alıyor. Eyalet düzeyindeki kurbanlar arasında Maryland Sağlık ve İnsani Hizmetler Departmanı, Minnesota ve New York City’nin eğitim departmanları ve Louisiana ve Oregon yer alıyor. . İngiltere’de iletişim düzenleyicisi Ofcom, etkilendiğini söyledi ve Kanada’da Nova Scotia eyaleti hükümeti vurulduğunu bildirdi.
Kampanyanın kurbanı olan kuruluşlar arasında UCLA, Siemens Energy, Extreme Networks, danışmanlık şirketleri EY ve PwC, American Board of Internal Medicine, gaz ve petrol devi Shell ve ABD finansal hizmetler şirketleri 1st Source ve First National Bankers Bank yer alıyor.
İngiliz maaş bordrosu sağlayıcısı Zelle, Clop tarafından ihlal edildiğini ve bunun sonucunda BBC, Boots eczane zinciri ve British Airways dahil sekiz müşterisinin bilgilerinin tehlikeye atıldığını bildirdi.
Tennessee Konsolide Emeklilik Sistemi Perşembe günü etkilendiğini bildirdi ve 171.836 emekli veya onların bağımsızları hakkındaki bilgiler ifşa oldu. TCRS verilerinin ihlali, MOVEit’i kullanan ve Clop’un kampanyasının kurbanı olan üçüncü taraf hizmet sağlayıcısı PBI Research Services’ten kaynaklandı. Etkilenen diğer PBI müşterileri arasında ABD’deki en büyük kamu emeklilik fonunu yöneten Genworth Financial ve California Kamu Çalışanları Emeklilik Sistemi yer alıyor.
Clop, gramer açısından bozuk bir İngilizceyle, kampanyanın bir parçası olarak yaklaşık 30 devlet kurumundan veya yüklenicinden çaldığı tüm verileri, görünüşe göre kendisini bir ulusal güvenlik hedefi haline getirmemeye çalışmak için tamamen sildiğini iddia ediyor. Grup, veri sızıntısı sitesinde “Biz sadece finansal olarak motive oluyoruz ve siyasetle ilgili hiçbir şeyi umursamıyoruz” diyor.
FBI ve CISA, saldırıları araştırmaya ve kurbanlara yardım etmeye devam ediyor. FBI’ın Siber Bölümü müdür yardımcısı Bryan Vorndran, Clop kampanyasından etkilenen tüm kuruluşları, henüz yapmamışlarsa büroyu uyarmaya çağırdı.