MOVEit’teki sıfır günlük bir güvenlik açığından toplu olarak yararlanılması, bugüne kadar 600’den fazla kuruluş ve 40 milyon kişinin güvenliğini tehlikeye attı, ancak rakamlar, hâlâ ortaya çıkmakta olan daha feci bir sonucu maskeliyor.
Mağdur havuzu, sağlık, eğitim, finans, sigorta, devlet, emeklilik fonları ve imalat dahil olmak üzere son derece hassas – ve düzenlenmiş – sektörlerdeki en yerleşik kurumlardan bazılarını temsil ediyor.
Clop fidye yazılımı grubunun bu kuruluşlara yönelik saldırı çılgınlığının neden olduğu müteakip erişim ve potansiyel maruz kalma çok büyük ve aşağı yönlü kurbanların sayısı henüz tam olarak anlaşılmadı.
Colorado Eyalet Üniversitesi altı kez, altı farklı şekilde vuruldu. Okulun üçüncü taraf tedarikçileri – TIAA, National Student Clearinghouse, Corebridge Financial, Genworth Financial, Sunlife ve The Hartford – MOVEit saldırılarıyla bağlantılı veri ihlalleri hakkında okula bilgi verdi.
Dört büyük muhasebe firmasından üçü – Deloitte, Ernst & Young ve PwC – de etkilendi ve tuttukları hassas müşteri verilerini riske attı.
Devlet yüklenicisi Maximus, 11 milyona kadar kişinin kişisel olarak tanımlanabilir bilgilerinin potansiyel olarak açığa çıkmasının ardından, MOVEit uzlaşmasıyla bağlantılı en kötü ihlallerden birini bildirdi. 600.000’den fazla Medicare yararlanıcısının verileri, Maximus ihlalinin bir parçası olarak ifşa edildi.
Bağımsız analist Michael Diamond e-posta yoluyla, MOVEit ve müşterilerine yönelik yaygın saldırının “son derece yaratıcı, iyi planlanmış, birden fazla grup tarafından organize edilmiş ve kayıtları geniş ölçekte ele geçirebildikleri için iyi yürütülmüş” olduğunu söyledi.
Diamond, “Şüphesiz, gelecekte para kazanmaya ve saldırılar için kullanmaya devam edecekleri bir bilgi perspektifinden meyve bahçesinin sulu kısımlarından birini vurdular” dedi. “Benim izlenimim, bunun zamanla daha da kötüleşeceği yönünde.”
Diamond, en kötüsünün henüz gelmediğini tahmin etmede yalnız değil.
Reliaquest Başkan Yardımcısı ve CISO’su Rick Holland, e-posta yoluyla, “Saldırının ölçeği ve yüksek profilli kurbanlar, MOVEit kampanyasını muhtemelen bugüne kadar gördüğümüz en başarılı kamu haraç kampanyası haline getiriyor” dedi.
Holland, verilen hasarın nihai genişliğinin bilinmeyebileceğini, ancak saldırıların kapsamlı etkisinin sonunda aylarla değil yıllarla ölçüleceğini söyledi.
İhlaller ihlalleri doğurur
Finansal olarak motive olan Clop, sızıntı sitesinde daha fazla kuruluş listeledikçe ve işletmeler saldırı ifşalarını damlattıkça kurban havuzu büyümeye devam ediyor.
Forrester’ın kıdemli analisti Jess Burn, “Bu kötüye kullanılan güvenlik açığından açığa çıkan ihlallerin sayısı ve kayıtların büyüklüğü çok büyük ve devam ediyor, bu da çok daha fazla ihlal bildiriminin geleceği anlamına geliyor” dedi.
Burn’a göre, küresel şirketler en başta vurulurken, sorunu çözmek veya Clop’un taleplerini karşılamak için beceri ve kaynaklara sahip olmayan daha küçük kuruluşların etkilenme olasılığı artık daha yüksek.
Clop’un neden olduğu hasarlara ilişkin günlük raporlar azalsa da, şimdi işler kötü.
Keeper Security’nin ürün başkanı Zane Bond e-posta yoluyla, “Gördüğümüz kadarıyla, bu olabilecek en kötü şey,” dedi. “Bu saldırılar, kuruluşların müşteri bilgileri, sağlık bilgileri, PII ve daha fazlası dahil olmak üzere en hassas verilerini güvenli bir şekilde taşımak için kullandıkları sistemleri hedefliyor.”
Tedarik zincirinde sıfır gün
Sorunun ilk işareti iki aydan uzun bir süre önce su yüzüne çıktı. Clop’un MOVEit’teki sıfır gün güvenlik açığından toplu olarak yararlanması ve bunun sonucunda ortaya çıkan saldırıların cümbüşü hızlıydı.
“Clop sizin sıradan fırsatçı gasp grubunuz değil. Grup, gelişmiş yeteneklerle sıfır günden yararlanan sofistike bir tehdit aktörüdür” dedi.
Tehdit aktörü, grubun Mart ayında yararlandığı Fortra’nın GoAnywhere dosya aktarım hizmetindeki sıfır gün güvenlik açığı da dahil olmak üzere bu yıl iki yüksek profilli tedarik zinciri saldırısından sorumludur. Clop, 2020 ve 2021’de Accellion dosya aktarım cihazlarına yönelik sıfırıncı gün istismar odaklı kampanyadan da sorumluydu.
Clop çalışan bir oyun kitabı çalıştırıyor. Bu saldırı çılgınlığından önce, Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI, Clop’un ilk ortaya çıktığı Şubat 2019’dan bu yana 11.000’den fazla kuruluşun güvenliğini ihlal ettiğini tahmin ediyor.
Bond, diğer tehdit aktörlerinin daha fazla hasara neden olan daha büyük saldırılar başlattığını, ancak “ancak çok azı düşmanların peşinde olduğu taç mücevherlerini bu kadar kolay elde etmeyi başardı” dedi.
Clop’un kampanyasının mali etkisi şimdiden milyarlarla ölçülüyor. Emsisoft’a göre, bugüne kadar eyalet başsavcıları ve Menkul Kıymetler ve Borsa Komisyonu’na yapılan açıklamalara ve IBM’in bir veri ihlalinin kayıt başına tahmini 165 ABD doları maliyetine dayanarak, MOVEit saldırılarının maliyeti 6,5 milyar doları aştı.
Burn, “MOVEit gibi yaygın olarak kullanılan yazılımlar yoluyla yapılan bu bire çok saldırılar, CISA gibi devlet kurumlarının teknoloji şirketlerine sattıklarını güvence altına almaları için daha fazla baskı yapmasının nedenidir” dedi.
Tasarım gereği güvenlik ve varsayılan olarak güvenlik ilkeleri, Biden yönetiminin Mart ayında açıklanan ulusal siber güvenlik stratejisinin temel ilkelerinden biridir. Teknoloji sektöründe daha fazla sorumluluk kaydırma çabaları büyük ölçüde memnuniyetle karşılanıyor, ancak siber güvenlik uzmanları planın eksik olduğunu ve hızlı veya kolay gerçekleşmeyeceğini söylüyor.
Siber sigorta taşıyıcıları ayrıca teminat risklerini ve olası hasar yükümlülüklerini değerlendirmek için müşterilerin teknoloji yığınlarına daha yakından bakıyor.
Burn, müşterilerin teknoloji şirketlerine baskı yapması gereken “kritik bir üçüncü seçim bölgesi” olduğunu söyledi. Bunu, tedarik zinciri ortaklarının ve önemli teknoloji satıcılarının güvenlik uygulamalarını derinlemesine inceleyerek ve bir yazılım malzeme listesi aracılığıyla daha fazla şeffaflık talep ederek başarabilirler.
Riskler ve sorumluluklar
Siber güvenlik uzmanları, riskin tedarik zincirinin her köşesinde pusuda beklediğini, ancak kuruluşların teknoloji yığınlarını kontrol altına alarak ve uzlaşmalara hızlı bir şekilde yanıt vererek maruz kalmayı sınırlayabileceğini söyledi.
Arctic Wolf Labs tehdit istihbaratı üst düzey yöneticisi Adrian Korn e-posta yoluyla, “Günün sonunda, verilerinizle ilgili olarak bir üçüncü tarafa güvenmek her zaman riskleri beraberinde getirecektir,” dedi.
Dış kaynaklı veya başka bir şekilde ortak olan satıcı kuruluşları ve bunların ilgili üçüncü taraf tedarikçileri, savunmayı daha da karmaşık hale getirir. Ancak bu, satıcıların güvenli yazılım ve hizmetler sağlamak zorunda olduğu değişen sorumluluk düzeylerini ortadan kaldırmaz.
Bond, “Kritik bilgilerin koruyucusu olan şirketler, güvenlik ve izleme için diğer türdeki kuruluşlara göre çok daha yüksek bir çıta gerektirir” dedi.
Holland, kuruluşların bulut tabanlı hizmetleri daha fazla benimsemesiyle tedarik zinciri saldırılarına karşı dayanıklılığın daha da zorlaşacağını söyledi.
Holland, “Clop’un kampanyası tedarik zincirinin mutlak kırılganlığını gösteriyor,” dedi. “Kuruluşlar, altyapılarını güvence altına almakta yeterince zorlanıyor.”