Olay ve İhlal Müdahalesi, Güvenlik Operasyonları, Standartlar, Yönetmelikler ve Uyumluluk
Clop Fidye Yazılımı Grubu 95 Milyon Kişiye Ait Verileri Çalmak İçin Bir Açığı Kullandı
Mathew J. Schwartz (euroinfosec) •
8 Ağustos 2024
Progress Software, MOVEit güvenli dosya transfer yazılımının kullanıcılarını hedef alan tedarik zinciri saldırısının ardından başlatılan ABD düzenleyici soruşturmasının sona erdiğini duyurdu.
Ayrıca bakınız: 2021 ve Sonrasında Siber Güvenlik Stratejinizi Oluşturmaya Yönelik Hususlar
Menkul Kıymetler ve Borsa Komisyonu, MOVEit örneklerinin Memorial Day 2023’te toplu olarak hacklenmesiyle ilgili olarak Ekim ayında bir soruşturma başlattı ancak şirket Salı günü yatırımcılara bir yaptırım eylemi başlatmayacağını söyledi.
Soruşturmacılar, Rusça konuşan Clop fidye yazılımı grubunun son sayıma göre 2.773 kuruluşu etkileyen sürpriz bir siber saldırı başlatmasının ardından Massachusetts, Burlington’daki yazılım satıcısına mahkeme celbi gönderdi.
Cl0p olarak da bilinen suç grubu, 27 Mayıs’ta sıfır günlük bir güvenlik açığını, daha sonra CVE-2023-34362 olarak adlandırdı, istismar etmeye başladı. Dört gün sonra, Progress kullanıcıları kampanya konusunda uyardı ve açığı düzeltmek için bir yama yayınladı.
O zamana kadar, Clop’un saldırıları sona ermiş gibi görünüyor. Veri çalan gasp grubu hedef aldığı MOVEit dosya transfer sunucularından hiçbirini kripto-kilitlememiş olsa da, grup hacimli miktarda veri çaldı.
Grubun kampanyası, güvenlik firması Emsisoft’un söylediğine göre 95 milyondan fazla kişinin ifşa olduğu bilgisine yol açtı. En çok etkilenen sektörler eğitim, sağlık ve finansal ve profesyonel hizmetler oldu. Mağdurlar arasında BT danışmanlık şirketi Maximus, ShellOil, sağlık yazılım satıcısı Welltok, California Delta Dental ve Louisiana, Colorado ve Oregon’daki eyalet hükümet kurumları yer aldı.
Fidye yazılımı olaylarına müdahale şirketi Coveware, saldırıların suç örgütüne tahmini 75 ila 100 milyon dolar arasında bir kazanç sağladığını, etkilenen kuruluşların çalınan verileri sızdırmama sözü karşılığında çok büyük fidyeler ödediğini söyledi (bkz: Fidye Gerçek Politikası: Veri Silme İşlemi İçin Ödeme Yapmak Aptallar İçindir).
Açığa çıkan bilgilerin hepsi hassas verileri içermiyordu. Uzmanlar ayrıca bazı MOVEit kullanıcılarının maruziyetinin, dosya paylaşım sunucularında uzun süreler boyunca bilgi saklamamaları sayesinde en aza indirildiğini söyledi (bkz: Clop’un MOVEit Tedarik Zinciri Saldırılarından Öğrenilecek Dersler).
SEC’in bir yaptırım eylemi başlatma konusundaki isteksizliği, Progress Software’in karşı karşıya olduğu düzenleyici veya yasal sorunların sonu anlamına gelmiyor. Şirket, yatırımcıları “yerli ve yabancı veri gizliliği düzenleyicilerinden gelen çeşitli soruşturmalarla, çeşitli eyalet başsavcılarından gelen soruşturmalarla” ve Progress Software’i hedef olarak göstermeyen bir federal kolluk kuvveti kurumunun soruşturmasıyla işbirliği yaptığı konusunda uyardı.
Yorum almak için ulaşılan şirket, “Progress bu tür konularda yorum yapamaz” dedi ve daha fazla bilgi için kamuya açık belgelerine başvurdu.
Progress Software’e karşı yüzlerce toplu dava önerisi de açıldı ve bunlar Massachusetts Bölge Mahkemesi’nde tek bir davada birleştirildi.
Önerilen son toplu davalardan biri, Haziran ayında yalnızca yazılım şirketini değil, Humana ve Trilogy Home Healthcare’i ve Trilogy’nin hukuk şirketi Kirkland & Ellis’i de dava eden Florida sakini Judith Wilson tarafından açıldı. Davasında, davalıları toplu olarak “davacıların ve benzer durumdaki diğer kişilerin özel bilgilerini uygun şekilde güvence altına almamak ve korumak” ve mağdurları bilgilendirmede gecikme yapmakla suçluyor.