Fintech bankacılık platformu Hatch Bank, bilgisayar korsanlarının şirketin Fortra GoAnywhere MFT güvenli dosya paylaşım platformundan yaklaşık 140.000 müşterinin kişisel bilgilerini çalmasının ardından bir veri ihlali bildirdi.
Hatch Bank, küçük işletmelerin diğer finansal kurumlardan banka hizmetlerine erişmesine izin veren bir finansal teknoloji firmasıdır.
TechCrunch tarafından bildirildiği üzere, etkilenen müşterilere gönderilen ve Başsavcılık ofislerine gönderilen veri ihlali bildirimleri, bilgisayar korsanlarının 139.493 müşterinin verilerini çalmak için GoAnywhere MFT yazılımındaki bir güvenlik açığından yararlandığı konusunda uyarıda bulundu.
Hatch Bank veri ihlali bildirimi, “29 Ocak 2023’te Fortra, yazılımlarında bulunan bir güvenlik açığını öğrendiklerinde bir siber olay yaşadı” uyarısında bulundu.
“3 Şubat 2023’te Hatch Bank, Fortra tarafından olaydan haberdar edildi ve Fortra’nın GoAnywhere sitesinde bulunan dosyalarının yetkisiz erişime tabi olduğu öğrenildi.”
Hatch, çalınan verileri incelediklerini ve müşterilerin adlarının ve sosyal güvenlik numaralarının saldırganlar tarafından çalındığını belirlediklerini söylüyor.
Banka, etkilenen bireylere on iki ay boyunca kredi izleme hizmetlerine ücretsiz erişim sağladığını da sözlerine ekledi.
Bu, GoAnywhere MFT saldırılarının neden olduğu teyit edilen ikinci veri ihlalidir ve ilki geçen ay Community Health Systems (CHS) tarafından ifşa edilmiştir.
GoAnywhere ihlallerinin arkasındaki fidye yazılımı çetesini kapatın
Hatch Bank saldırıyı hangi tehdit aktörünün gerçekleştirdiğini açıklamazken, Clop fidye yazılımı çetesi BleepingComputer’a bu saldırıların arkasında kendilerinin olduğunu ve 130’dan fazla kuruluştan veri çaldıklarını söyledi.
Fidye yazılımı çetesi, Fortra’nın GoAnywhere MFT güvenli dosya paylaşım platformundaki sıfır gün güvenlik açığını on gün boyunca veri çalmak için kullandıklarını söylüyor.
Güvenlik açığı artık CVE-2023-0669 olarak izleniyor ve uzak tehdit aktörlerinin sunuculara erişmesine izin veren bir uzaktan kod yürütme güvenlik açığı. GoAnywhere, saldırılarda aktif olarak kullanıldığını öğrendikten sonra Şubat ayı başlarında müşterilere yönelik güvenlik açığını açıkladı.
Platformun 7 Şubat’ta bir acil durum yaması almasından bir gün önce güvenlik açığı için bir açık açık yayınlandı.
BleepingComputer, Clop’un saldırıların arkasında olduklarına dair iddialarını bağımsız olarak doğrulayamadı ve Fortra e-postalarımıza asla yanıt vermedi.
Ancak, Huntress Tehdit İstihbarat Yöneticisi Joe Yavaş ayrıca GoAnywhere MFT ile Clop fidye yazılımını dağıtmasıyla tanınan bilgisayar korsanlığı grubu TA505 arasında bağlantılar buldu.
Clop, Aralık 2020’de dünya çapındaki şirketlerden veri çalmak için Accellion’ın Dosya Aktarım Cihazı (FTA) sistemindeki sıfır gün güvenlik açığından yararlandığında benzer bir taktik kullanmasıyla biliniyor.
GoAnywhere MFT gibi, Accellion FTA da kuruluşların müşterileriyle güvenli bir şekilde dosya paylaşmasına olanak tanır.
Bu saldırıların bir parçası olarak, Clop fidye yazılımı çetesi, çalınan verilerin yayınlanmasını önlemek için 10 milyon dolarlık fidye talep ederek kurbanlardan şantaj yapmaya çalıştı.
Accellion FTA saldırıları, aralarında Morgan Stanley, Qualys, enerji devi Shell ve süpermarket devi Kroger’ın da bulunduğu çok sayıda kuruluşun ilgili ihlalleri ifşa etmesiyle geniş çapta hasara yol açtı. Stanford Medicine, Colorado Üniversitesi, Miami Üniversitesi ve California Üniversitesi dahil olmak üzere dünya çapında çok sayıda üniversite de etkilendi.
Clop’un GoAnywhere MFT saldırılarının kurbanları için benzer fidye talep edip etmediği bilinmemekle birlikte, çetenin benzer taktikler izlemesi durumunda, gelecekte çalınan verilerin veri sızıntısı sitelerinde göründüğünü görmeye başlayacağız.