Japon Hitachi holdinginin milyarlarca dolarlık güç ve enerji çözümleri bölümü olan Hitachi Energy, bazı çalışan verilerine Fortra’nın yönetilen dosya aktarımındaki bir güvenlik açığından kaynaklanan sistemlerine yönelik bir saldırıda Clop (diğer adıyla Cl0p) fidye yazılımı karteli tarafından erişildiğini doğruladı. ürün GoAnywhere.
Hitachi, olayda hangi verilerin etkilendiğini veya Clop çetesiyle herhangi bir şekilde müzakereye girip girmediğini açıklamadı, ancak siber suçlular, gizli web sızıntı sitelerine ayrıntılarını eklediler. işbirliği yapmazsa yakında verilerini sızdıracak.
Bir Hitachi sözcüsü, “Bu olayı öğrendikten sonra hemen harekete geçtik ve kendi soruşturmamızı başlattık, üçüncü taraf sistemin bağlantısını kestik ve saldırının doğasını ve kapsamını analiz etmemize yardımcı olması için adli BT uzmanlarını görevlendirdik” dedi.
“Etkilenebilecek çalışanlar bilgilendirildi ve destek sağlıyoruz. Ayrıca ilgili veri gizliliği, güvenlik ve kolluk makamlarını bilgilendirdik ve ilgili paydaşlarla işbirliği yapmaya devam ediyoruz.
“En son bilgilerimize göre, ağ operasyonlarımız veya müşteri verilerinin güvenliği tehlikeye atılmadı. Soruşturma ilerledikçe ilgili tarafları bilgilendirmeye devam edeceğiz.”
Açıklama, Hitachi Energy’nin, Clop’un Fortra GoAnywhere güvenlik açığı aracılığıyla vurduğunu iddia ettiği 100’den fazla kurbandan oluşan ve giderek büyüyen bir listeye katıldığı anlamına geliyor.
CVE-2023-0669 olarak izlenen güvenlik açığı, GoAnywhere içinde uzaktan kod yürütülmesine (RCE) olanak tanıyor ve bir aydan uzun bir süre önce ifşa edilip yama uygulanmış olmasına rağmen, Clop operasyonu bir diziyi tehlikeye atmak için bundan faydalanmayı başardı. yeni kurbanların
Halihazırda öne çıkanlar arasında, Clop’un sızıntı sitesinde listelenmiş ve tehdit edilmiş olan depolama ve güvenlik çözümleri tedarikçisi Rubrik de var.
Rubrik olayında çete, üretim dışı bir BT test ortamında tutulan sınırlı miktarda veriye ve bazı müşteri ve iş ortağı satış verilerine erişim sağlamış, ancak Rubrik’in müşterileri adına güvence altına aldığı herhangi bir veriye erişim sağlamış görünüyor.
Clop’un sızıntı sitesine yakın zamanda eklenen diğer kuruluşlar arasında fosil yakıt devi Shell ve havacılık üreticisi Bombardier yer alıyor, ancak bunların Fortra hatası yoluyla ele geçirilip geçirilmedikleri belli değil.
Bombardier’in daha önce 2021’de çete, Accellion tarafından çalıştırılan başka bir güvenliği ihlal edilmiş dosya aktarım uygulaması aracılığıyla saldırdığında bir Clop kurbanı olduğunu unutmayın.
Üretken fidye yazılımı ailesi
Clop tarafından isimlendirilen yeni (veya tekrarlanan) kurbanların sayısının gösterdiği gibi, 2021’de Clop’un kanatlarını kıran kanun yaptırımı eylemlerine rağmen çete, oldukça üretken bir operatör olmaya devam ediyor.
Çete bu noktada yaklaşık dört yıldır ortalıkta dolaşıyor ve 2021’in sonları itibarıyla yarım milyar dolardan fazla fidye ödemesi yaptığı düşünülüyor.
Rusça konuşan çete, hizmet olarak fidye yazılımı temelinde çalışıyor; bu, çeşitli araştırmacılar tarafından birden çok atama atanan birden çok bağlı kuruluş tarafından kullanıldığı anlamına geliyor; belki de en önemlisi, Google’ın Mandiant’ı tarafından FIN11 olarak izlenen grup.
Clop dolabı ilk olarak CryptoMix fidye yazılımı ailesinin bir çeşidi olarak geliştirildi ve şifrelediği dosyalara Cl0p uzantısını eklediği için böyle adlandırılmıştır.
Trend Micro’ya göre, sistemin Grup İlkesini belirlemek için yürütmeden önce Active Directory sunucusuna erişerek tek tek makineler yerine kurbanın tüm ağını hedefler, bu da sistemin kurban uç noktalarda sözde temizlendikten sonra bile devam etmesini sağlar.
Clop’a bağlı kuruluşlar, dosya aktarım güvenlik açıklarını kullanmalarıyla ünlü olsalar da, dolabın daha çok bir kimlik avı kampanyasının parçası olarak dağıtıldığı gözlemlenmiştir.
Yakın zamanda, SentinelOne’ın SentinelLabs’i, Clop’un ilk Linux-hedefleme varyantını vahşi ortamda bulduğunu bildirdi. Bununla birlikte, şu anda bu değişken, yürütülebilir dosyası, şifre çözmeyi bir aptal yapan kusurlu bir şifreleme algoritması içerdiğinden, geliştirme aşamasında gibi görünüyor. Linux varyantı için bir şifre çözücü GitHub’da bulunabilir.