Tehdit araştırmacılarına göre, bir fidye yazılımı tehdit aktörü, bir dizi saldırı başlatmak için GoAnywhere’deki bir güvenlik açığından yararlanıyor ve düzinelerce ek kurban olduğunu iddia ediyor.
22-24 Mart arasında 60’tan fazla örgütün vurulduğu belirtildi. Adam Meyers, CrowdStrike İstihbarat Kıdemli Başkan Yardımcısı. Son saldırılar, Clop olarak da bilinen Cl0P ile bağlantılı tehdit gruplarının Şubat ayı başlarında 130’dan fazla kurban iddia etmesinden sonra geldi.
FortraDosya aktarım hizmetinin arkasındaki şirket, ilk önce bazı durumlarda şüpheli etkinlikten haberdar edildiğini söyledi. Her Yere Git Jan. 30. Fortra aktif olarak yararlanılan sıfır gün güvenlik açığı için bir yama yayınladı. CVE-2023-0669bir hafta sonra.
Bu, her ikisi de müteakip faaliyet patlamalarını içeren, bu yıl bilinen ikinci küresel fidye yazılımı saldırısı çılgınlığına işaret ediyor. A ESXiArgs adlı fidye yazılımı varyantı Şubat ayında binlerce VMware sunucusunu vurdu.
“Kitlesel istismar ve şifreleme saldırıları gerçekleştirmek, fidye yazılımı grupları için çok cazip geliyor ve muhtemelen bu modeli denemeye devam edecekler.” Allan Liska, Recorded Future’da tehdit istihbarat analisti ve çözüm mimarıe-posta yoluyla söyledi.
İçin Cootbu kampanya, fidye yazılımı gruplarının sıfırıncı gün güvenlik açıklarını araştırmak veya satın almak ve toplu saldırılar gerçekleştirmek için gerekli kaynaklara ve organizasyona sahip olduğunu hatırlatır.
GoAnywhere güvenlik açığıyla bağlantılı saldırılar şimdiye kadar şifreleme içermiyordu, ancak Cl0p tehdit aktörleri kuruluşların sistemlerini ihlal ettiklerini ve verileri sızdırdıklarını iddia ediyor. Brett Callow, Emsisoft’ta tehdit analisti.
Cl0p’nin sızıntı sitesinde listelenen yeni kurbanlar arasında Procter & Gamble, Virgin, Saks Fifth Avenue ve diğerleri yer alıyor.
Callow, e-posta yoluyla, “Hizmet sağlayıcılar ve platform sağlayıcılar, birden fazla müşteri kuruluşunun bir anda ele geçirilmesini sağlayabildikleri için fidye yazılımı operatörleri için son derece çekici hedeflerdir” dedi.
Callow, araştırmacıların bu saldırıların neden olduğu potansiyel zararı değerlendirmek için daha fazla ayrıntıyı beklediklerini, ancak toplu ihlallerin “çok büyük miktarda verinin – buna kimlik avı yemi diyelim – kötü aktörlerin eline geçmesine neden olabileceğini” söyledi.
Saldırıların fırsatçı olduğunu söyleyen Meyers, şunları ekledi: “Güvenilir bir şekilde yararlanabilecekleri bir güvenlik açığı buldular ve onu kaybetmeden önce kullandılar.”
Güvenlik açığı, tehdit aktörlerinin, internete açık bir yönetim paneliyle yama uygulanmamış GoAnywhere sistemlerinde uzaktan kod yürütmesine olanak tanır.
Kitlesel saldırılar, benzer Kaseya fidye yazılımı saldırısı Liska, 2021’de etkilenen şirketler, ortaklar, satıcılar ve harici olay müdahale ekipleri genelinde önemli kaynakları tüketeceklerini söyledi.
Liska, “Ekipler, yama yapmak ve saldırının verdiği hasarı değerlendirmek, etkilenmiş olabilecek ortakları veya müşterileri bilgilendirmek ve saldırıdan kurtulmak için haftalar harcamak zorunda” dedi. “Kuruluşunuz ESXiArgs’tan etkilendiyse ve ayrıca GoAnywhere kuruluysa, ikinci saldırıyı ele almak zorunda kalmadan önce ilk saldırıdan tam olarak kurtulamayabilirsiniz.”
Sağlık ve İnsan Hizmetleri Bakanlığı bir açıklama yayınladı. Cl0p hakkında uyarı 22 Şubat’ta grup, bazıları sağlık sektöründen olanlar da dahil olmak üzere 130’dan fazla kuruluşu vuran ilk toplu saldırının sorumluluğunu üstlendikten sonra. Siber Güvenlik ve Altyapı Güvenliği Ajansı, son saldırı dalgası hakkında yorum yapmaktan kaçındı.
Bir Fortra sözcüsü, şirketin etkilenebilecek müşterileri bilgilendirdiğini ve yamanın nasıl uygulanacağına ilişkin talimatları paylaştığını söyledi. Sözcü, e-posta yoluyla “Bunu çok ciddiye alıyoruz ve müşterilerimizin bu sorunu çözmek için azaltma adımlarını uygulamalarına yardımcı olmaya devam ediyoruz” dedi.
Fortra, müşterilerle paylaştığı bir danışma belgesini veya güvenlik açığına ilişkin yamanın ayrıntılarını herkese açık olarak yayınlamadı.