3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Bilinen Kurbanlar Artık New York Şehri Okullarını, UCLA’yı ve Çok Sayıda PBI Müşterisini Kapsıyor
Mathew J. Schwartz (euroinfosec) •
27 Haziran 2023
Clop fidye yazılımı grubunun Progress Software’in popüler MOVEit dosya aktarım yazılımı kullanıcılarına yönelik tedarik zinciri saldırısından etkilenen kuruluşların sayısı artmaya devam ediyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Emsisoft’ta bir tehdit analisti olan Brett Callow, “Bugün itibariyle, yedi ABD üniversitesi de dahil olmak üzere 108 kuruluş Clop tarafından listelendi ve/veya MOVEit’ten etkilendiği açıklandı.” tweet attı Pazartesi geç.
Clop’un kampanyası, verileri çalmak için MOVEit dosya aktarım yazılımındaki sıfır günlük bir güvenlik açığından yararlandı. Saldırıların çoğu 27 Mayıs ve 28 Mayıs tarihlerinde başlatıldı ve görünüşe göre Amerika Birleşik Devletleri’ndeki uzun Anma Günü tatil hafta sonu ile aynı zamana denk geldi.
Progress, kampanya hakkında ilk olarak 31 Mayıs’ta bir uyarı ve hafifletme tavsiyesi yayınladı, ardından 2 Haziran’da bir yama yayınladı. 15 Haziran itibariyle, Progress iki sıfır gün güvenlik açığını daha yamaladı, ancak bunlar suçlular tarafından kullanılmış gibi görünmüyor. .
İlk sıfır gün güvenlik açığı yamalanmadan önce, saldırganlar kurban kuruluşlardan milyonlarca kişinin kişisel bilgilerini içeren verileri çaldı. Clop, saldırıların sorumluluğunu hemen üstlendi. Grup, geçmiş hedeflere karşı kripto-kilitleme kötü amaçlı yazılımı kullanmış olsa da, MOVEit kampanyasının yalnızca veri hırsızlığı içerdiği görülüyor. Bu, grubun bu yılın başlarında GoAnywhere dosya aktarım yazılımı kullanıcılarını hedef alan sıfır gün kampanyası için de geçerliydi.
Daha Fazla Kurban Ortaya Çıkıyor
MOVEit, dünya çapında binlerce kullanıcıyı sayar ve daha fazla kurban hala gün ışığına çıkabilir. Clop, veri sızıntısı sitesinde “Büyük şirketlere bizimle iletişime geçmeleri için zaman tanımak için adları yavaş yavaş sızdırıyoruz” diyor. Birçok fidye yazılımı grubu, bu sitelerde fidye ödemeyen kurbanları listeleyerek onları ödemeye zorlar.
Clop Pazartesi günü UCLA’yı MOVEit kurbanlarından biri olarak listeledi. Fidye yazılımı grubunun ne çaldığı belirsizliğini koruyor.
Cumartesi günü New York City, siber suçluların yaklaşık 45.000 öğrencinin yanı sıra personel ve hizmet sağlayıcılara ait kişisel bilgileri çaldığını bildirdi.
Şehrin soruşturması devam ederken, Eğitim Bakanlığı bir veri ihlali bildiriminde “yaklaşık 19.000 belgeye izinsiz erişildiğini” ve bunun 9.000 Sosyal Güvenlik numarasını ve belirsiz sayıda çalışan kimlik numarasını açığa çıkardığını söyledi.
Şehir, “Bireylere bir kimlik izleme hizmetine erişim sağlanacak” dedi. Hem FBI hem de New York Polis Departmanı saldırıyı soruşturuyor.
Clop’un bilinen diğer kurbanları arasında petrol ve gaz devi Shell, Kanada eyaleti Nova Scotia hükümeti, İngiliz maaş bordrosu sağlayıcısı Zelle ve buna bağlı olarak BBC, Boots eczane zinciri ve British Airways dahil olmak üzere sekiz müşterisi ve ABD Güvenlik Departmanı yer alıyor. Enerji, diğerleri arasında.
Eyaletin Motorlu Taşıtlar Dairesi kurban düştüğünde kişisel bilgileri ifşa olan bir grup Louisiana sakini, federal mahkemede Progress Software aleyhine dava açarak toplu dava statüsü talep etti.
Etkilenen Servis Sağlayıcı Müşterileri
Finansal hizmet şirketlerinin ölen poliçe sahiplerini belirlemesine ve lehtarları bulmasına yardımcı olan PBI Araştırma Hizmetleri de kurban oldu. Saldırganlar, müşterileri adına saklanan verileri çaldı.
Veri hırsızlığı, saldırganların 2,7 milyona kadar müşterisi ve temsilcisi için PBI kişisel bilgilerini çaldığını bildiren Genworth Financial da dahil olmak üzere PBI müşterilerinden çok sayıda ihlal bildirimine yol açtı. PBI, ABD’deki en büyük kamu emeklilik fonunu yöneten Kaliforniya Kamu Çalışanları Emeklilik Sistemini kullanıyor. Yaklaşık 770.000 üyenin kişisel bilgilerinin PBI’dan çalındığını söyledi. Wilton Reassurance Co., Sosyal Güvenlik numaraları da dahil olmak üzere 1,5 milyon müşterinin kişisel bilgilerinin çalındığını bildirdi.
MOVEit saldırılarının kurbanı olduğunu bildiren kuruluşlardan bazıları, çalınan verilerinin Clop tarafından listelendiğini asla göremeyebilir. Grup, çaldığı herhangi bir hükümet verisinin hızlı bir şekilde silindiğini iddia etmek için geriye doğru eğiliyor ve veri sızıntısı sitesinde, siyasi değil, tamamen finansal bir gündemi olduğunu iddia ediyor.
Clop, MOVEit kampanyasının bir parçası olarak devlet kurumları da dahil olmak üzere 30 kuruluştan çaldığı hükümet verilerini sildiğini iddia ediyor. Rusça konuşan fidye yazılımı grubu, yabancı istihbarat servislerine ilgilendikleri her şeyi satmış olabilir.