Rus fidye yazılımı grubu ‘Clop’, korumasız ağlardan veri çalmak için Mayıs ayı sonlarında Progress Software’in MOVEit ürün paketindeki bir kusurdan yararlanır.
Alman siber güvenlik araştırma firması KonBriefing’e göre şu an itibariyle MOVEit hack’i 421 kuruluşu ve 22 milyon kişiyi etkiledi.
İşte tüm kurbanların kapsamlı bir listesi.
CL0P fidye yazılımını kullanmasıyla tanınan saldırının arkasındaki suçlu, kimlik avı ve iş e-postası ele geçirme (BEC) saldırılarında kullanılabilecek çok büyük miktarda bilgiye erişebilir.
MOVEit saldırılarının çoğu, CL0P’nin MOVEit’te CVE-2023-34362 olarak izlenen sıfır gün güvenlik açığını hedeflediği 30 Mayıs ile 31 Mayıs arasında gerçekleşmiş gibi görünüyor.
Emsisoft Tehdit Analisti Brett Callow, “Bu, SolarWinds olayıyla aynı ligde yer almasa da, yine de son yılların en önemli hack’lerinden biri.”
Organizasyon Üzerindeki Etkiler
Etkilenen kuruluşların sayısı, hem doğrudan etkilenenleri hem de dolaylı olarak zarar görenleri içerir.
Bu bağlamda, bir maaş bordrosu ve İK firması olan İngiltere merkezli Zellis doğrudan etkilenirken, BBC ve British Airways gibi Zellis’in hizmetlerine güvenen büyük kuruluşlar dolaylı olarak etkilendi.
ABD Enerji Bakanlığı, diğer federal kurumlar ve önde gelen bir enerji sağlayıcısı olan Shell, Deutsche Bank, PwC ve perakende sektörünün lideri olan TJX Şirketleri dahil olmak üzere büyük firmalar etkilendi.
Ayrıca Marshalls, HomeGoods, HomeSense ve Sierra TJX’in sahip olduğu perakende markaları arasındadır.
Emerson, MOVEit saldırılarının hedefi olduğunu kabul eden başka bir endüstriyel şirkettir. Geçen hafta şirket, “işimizi veya müşterilerimizi etkileyen hassas bilgiler içeren hiçbir veriye erişilmediğini” söyledi.
Ayrıca, başka hiçbir BT uygulamasına veya altyapısına erişilmediğini veya başka bir şekilde etkilenmediğini, yalnızca MOVEit yazılımını barındıran sistemin etkilendiğini vurguladı.
Siemens Energy ve Schneider Electric de etkilendi. Henüz herhangi bir açıklama yayınlamamış olsa da siber güvenlik şirketi Netscout da Cl0p internet sitesinde yer alıyor.
Bazı Alman bankalarının yanı sıra fotoğraf paylaşım sitesi Shutterfly saldırıya uğradığını kabul etti.
CL0P kuruluşu, sızıntı web sitesinde MOVEit saldırılarının sözde yeni kurbanlarını listelemeye devam ediyor.
Endüstri devi Honeywell, Haziran ayı ortasında yaptığı açıklamada MOVEit uygulaması aracılığıyla kişisel olarak tanımlanabilir bazı bilgilerin elde edildiğini kabul ettikten sonra listeye eklendi.
Emsisoft, şu anda 3.600 kolej ve üniversiteye kayıtlı 17.1 milyon öğrencinin verilerini işleyen ve Amerika Birleşik Devletleri’ndeki mevcut lise sonrası kayıtların %97’sini oluşturan Ulusal Öğrenci Takas Merkezi hakkında, “Önceki yıllarda kaydolan öğrencilerin yanı sıra,” dedi.
Etkilenen Kişi Sayısı
Kişisel bilgileri – genellikle Sosyal Güvenlik numaraları – ele geçirilen kişilerin sayısı: Fidelity & Guaranty Life Insurance Co., 873.000 mağdur; Indiana’daki 1. Kaynak Bankası, 450.000 kurban; Pennsylvania’daki Franklin Mint Federal Credit Union, 141.000 kurban; PokerStars olarak faaliyet gösteren TSG Interactive US Services Limited, 110.291 kurban; Iowa’daki Athene Annuity and Life Company, 70.412 kurban; ve Massachusetts Mutual Life Co., diğer adıyla MassMutual, 242 kurban.
Fidye yazılımı grubu, ödemeyi reddeden birkaç işletmeden alınan dosyaları dağıtmaya başladı. Bilgisayar korsanları, etkilenen devlet kurumlarından alınan tüm bilgileri sildiğini iddia ediyor.
The Wall Street Journal’a göre Progress Software, MOVEit kusurunun yetersiz güvenlikten kaynaklandığını iddia eden en az 13 dava ile uğraşıyor.
Güvenlik firması Emsisoft, “Daha da kötüsü, çalınan bilgilerin kötüye kullanılma potansiyeli önemli” dedi.
“Ve endişe kaynağı olan sadece CL0P’nin bilgileri nasıl kötüye kullanabileceği değil. Çevrimiçi olarak yayınlandıktan sonra, BEC düzenlerinde, kimlik dolandırıcılığında vb.
Massachusetts’te bulunan MOVEit satıcısı Progress Software, ek izinsiz girişleri durdurmak için 31 Mayıs’ta güvenlik açığını düzeltti.
Şirket, “Şu anda bildiğimiz kadarıyla, 31 Mayıs güvenlik açığından sonra keşfedilen güvenlik açıklarının hiçbiri aktif olarak kullanılmadı” dedi.
Uzmanlar arasındaki genel görüş, MOVEit veri ihlallerinin tüm kapsamını tahmin etmek için henüz çok erken olduğu yönünde. Önümüzdeki haftalarda, şüphesiz daha fazla kurban belirlenecek.
IOC’lerin, altyapıların ve paylaşılan kaynakların derlenmiş listesi burada.