Clop fidye yazılımı organizasyonu, karanlık web sızıntı sitesine MOVEit saldırılarının beş kurbanını daha yükledi. Bu kurbanlar arasında Schneider Electric ve Siemens Energy gibi endüstriyel devler de var. Endüstriyel Kontrol Sistemleri (ICS), hem Schneider Electric hem de Siemens Energy tarafından sağlanan bir üründür. Bu ICS, tüm dünyada hayati öneme sahip ulusal altyapıda kullanılmaktadır.
Tehdit aktörleri, yakın zamanda kamuoyuna duyurulan MOVEit Transfer güvenlik açığından (CVE-2023-34362) yararlanarak yüzlerce işletmenin sistemlerini ele geçirdiklerini iddia ediyor.
MOVEit Transfer, işletmelerin SFTP, SCP ve HTTP tabanlı yüklemeleri kullanarak dosyaları güvenli bir şekilde aktarmalarına olanak tanıyan, yönetilen bir dosya aktarımıdır. Bu özellik MOVEit Transfer tarafından kullanılır.
Kimliği doğrulanmamış bir saldırganın, MOVEit Transfer tarafından kullanılan veritabanına yetkisiz erişim elde etmek için SQL enjeksiyon güvenlik açığından yararlanması mümkündür. Cl0p fidye yazılımı grubu, MOVEit’teki sıfır gün güvenlik açığından yararlanma sorumluluğunu üstlendi. Bu süreçte yüzlerce farklı işletmeye girdiklerini iddia ediyorlar. Uzmanlara göre, güvenlik açığı ilk tespit edildiğinde MOVEit programının yaklaşık 3.000 aktif kurulumu vardı.
14 Haziran’dan beri Cl0p, kurbanların isimlerini dark web’de sahip oldukları sızıntı sitesinde yayınlıyor. Şimdiye kadar Shell Global, Telos, Norton LifeLock, California Kamu Çalışanları Emeklilik Sistemi (CalPERS), PWC, Ernst & Young, Sony ve daha onlarca şirketin isimleri yayınlandı.
Hizmet Olarak Fidye Yazılımı veya RaaS, Cl0p’nin kullandığı işlem tarzıdır. Bu, fidye ödemesinin belirli bir yüzdesi karşılığında kötü amaçlı yazılımı bağlı kuruluşlara kiraladığı anlamına gelir.
Suç örgütü, kurbanlarının verilerini çaldıkları ve şifreledikleri, verilere erişimi geri yüklemeyi reddettikleri ve ardından fidye ödenmezse sızan verileri veri sızıntı sitelerinde yayınladıkları “çifte gasp” olarak bilinen bir strateji kullanıyor.
Amerika Birleşik Devletleri hükümeti, CL0P Fidye Yazılımı Çetesi veya Amerika Birleşik Devletleri’ndeki hayati altyapıyı hedef alan diğer tehdit aktörleri ile yabancı bir hükümet arasında bağlantı kuran kanıt sağlayabilen herkese on milyon dolara kadar ödül teklif ediyor.
Ödül, Amerika Birleşik Devletleri Dışişleri Bakanlığı tarafından yürütülen Adalet İçin Ödül programı kapsamında sunuluyor.
Bir yanıtta Schneider, şirketin “şu anda bu iddiayı araştırdığını” söyledi. Abbvie hemen bir açıklama yapmadı. İletişime Cl0p tarafından hemen yanıt verilmedi.
Federal Soruşturma Bürosu, “kötü niyetli fidye yazılımı aktörleri tarafından son zamanlarda bir MOVEit güvenlik açığından yararlanıldığının farkında olduğunu ve bunu araştırdığını” iddia ettiği bir bildiri yayınladı.
Hem Siemens hem de UCLA, veri ihlallerinin doğası ve kapsamı hakkında yalnızca sınırlı miktarda ek bilgi yayınladı. Siemens, hayati verilerinin hiçbirinin hacklenmediğini ve şirketin operasyonlarının hiçbir şekilde kesintiye uğramadığını söyledi. UCLA tarafından yapılan açıklamaya göre, üniversitenin kampüs sistemlerinde aksama yaşanmadı ve “etkilenenlerin tamamına haber verildi.”
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.