3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Clop Group’un PBI Araştırmasını Hacklemesi Nedeniyle TIAA Tarafından 2,6 Milyon Birey Bildirildi
Mathew J. Schwartz (euroinfosec) •
24 Temmuz 2023
Hizmet olarak fidye yazılımı grubu Clop’un MOVEit dosya aktarımı kullanıcılarına yönelik saldırısından etkilenen kuruluş ve bireylerin sayısı yeni kurbanlar oluşturmaya devam ediyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Amerika Öğretmen Sigortası ve Yıllık Gelir Derneği, bir hizmet sağlayıcının MOVEit sunucusuna yapılan saldırı sonucunda 2,6 milyon üyeye ilişkin bilgilerin açığa çıktığını bildirdi.
TIAA bir veri ihlali bildirim mektubunda, etkilenen verilerin Sosyal Güvenlik numaralarını, doğum tarihlerini ve adresleri içerdiğini söyledi.
TIAA dahil yüzlerce kuruluş, Clop’un Mayıs sonundaki saldırı kampanyasının bir sonucu olarak, kişisel olarak tanımlanabilir bilgilerin kontrolünü kaybetti. Suç grubu, kurbanların ağlarına daha geniş erişim sağlamak için kusurdan yararlanmış gibi görünmüyor. Bunun yerine, Rusça konuşan suç örgütü fidye ödemezlerse kurbanların isimlerini yayınlamakla ve çalınan verileri sızdırmakla tehdit etti.
Pazartesi günü itibariyle, Alman siber güvenlik araştırma firması KonBriefing, 420’den fazla kuruluşun MOVEit kampanyasından etkilendiğinin bilindiğini bildirdi, bunun nedeni dosya aktarım sunucularının saldırıya uğraması veya MOVEit kullanan hizmet sağlayıcılarından bir veya daha fazlasının kurban olmasıydı.
Etkilenen kuruluşların büyük çoğunluğu, FBI ve Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nın saldırıları araştırmaya ve kurbanlara yardım etmeye devam ettiği ABD’de bulunuyor.
Toplamda yalnızca yaklaşık 70 etkilenen kuruluş, kaç kişinin etkilendiğini kamuya açıkladı. Brett CallowEmsisoft’ta bir güvenlik danışmanı.
Clop’un Veri Çalma Kampanyası
Clop fidye yazılımı sendikası, 29 ve 30 Mayıs tarihlerinde çok sayıda kuruluştan veri çalmak için Massachusetts merkezli Progress Software tarafından oluşturulan MOVEit’teki sıfır günlük bir güvenlik açığını hedef aldı. 31 Mayıs’ta, halka açık Progress bir güvenlik uyarısı yayınladı ve kusur için bir yama yayınladı.
TIAA, MOVEit yazılımını kullanmaz. Bunun yerine, verilerinin ihlali, finansal hizmet şirketlerinin müşterilerin ne zaman öldüğünü belirlemelerini, ölüm faydalarını tetiklemelerini ve sağlamalarını gerektiren düzenleyici kurallara uymalarına yardımcı olan, yaygın olarak kullanılan üçüncü taraf hizmet sağlayıcısı PBI Araştırma Hizmetleri’ne kadar uzanıyor.
PBI, “2 Haziran’da MOVEit uzlaşmasından haberdar olduğunu” ve “MOVEit örneğine derhal yama uyguladığını, siber güvenlik ve gizlilik uzmanlarından oluşan bir ekip oluşturduğunu, federal kolluk kuvvetlerine haber verdiğini ve etkilenen müşterilerle iletişime geçtiğini” söyledi. PBI, ihlal araştırmasının sonuçlanıp sonuçlanmadığına ilişkin bir soruya hemen yanıt vermedi.
Ek soruşturmalar devam ediyor, bu da mağdur örgütlerin ve etkilenen bireylerin toplam sayısının artmaya devam edebileceği anlamına geliyor. KonBriefing, 84 ABD kolejinin ve üniversitesinin mevcut ve eski öğrencileri ve personeli, bilgilerinin genellikle bir hizmet sağlayıcı aracılığıyla açığa çıkmış olabileceği konusunda uyardığını bildirdi.
New York Eyalet Üniversitesi’nin bir parçası olan Buffalo Eyaleti, Clop’un yalnızca TIAA’yı değil, aynı zamanda Ulusal Öğrenci Takas Odası ve Corebridge’i de vurması sonucunda kişisel bilgilerin açığa çıkmış olabileceği konusunda uyardı. “Her kuruluş, öğrencilerin, çalışanların ve emeklilerin kişisel bilgilerinin etkilenmiş olabileceği konusunda uyarmak için SUNY ile iletişime geçti.”
Corebridge’in kendisi, Clop’un sistemlerini ihlal etmediğini, bunun yerine “işletmelerimiz için yasal uyumluluk ve operasyonel destek hizmetleri için” kullandığı, adı açıklanmayan bir üçüncü taraf sağlayıcının sistemlerini ihlal ettiğini söyledi.
National Student Clearinghouse, doğrudan Clop tarafından vurulduğunu söyledi, MOVEit güvenlik açığını hızla düzeltti ve ihlali araştırmak ve olay müdahalesine yardımcı olmak için üçüncü taraf bir siber güvenlik firması getirdi. Saldırının ardından kuruluş, altyapıyı daha iyi kilitlemek için “FBI, CISA, Mandiant, Microsoft ve diğerleri” gibi kuruluşların bir dizi tavsiyesini uyguladığını söyledi.
NSC, Amerika Birleşik Devletleri’ndeki lise sonrası kayıtların %97’sini temsil eden 3.500’den fazla kolej ve üniversite ile birlikte çalışmaktadır. Kuruluş, Clop’un MOVEit sunucusuna yaptığı saldırıdan etkilenen toplam kuruluş ve kişi sayısını henüz ayrıntılı olarak açıklamadı.
Kuruluş, MOVEit’i kullanmaya devam ettiğini, ancak “tüm MOVEit ortamını, müşterilerimizin tüm verilerinin saldırganlar tarafından asla erişilmeyen yeni inşa edilmiş, bozulmamış bir ortama gireceği şekilde” yeniden inşa ettiğini söyledi. NSC, gelecekte bu tür saldırı girişimlerini daha iyi tespit etmek için “ek izleme önlemleri uyguladığını” söyledi.