Tek bir Amerikan yazılım üreticisine odaklanan çok yönlü bir ihlal, dünya çapında 600’den fazla kuruluşun verilerini tehlikeye attı. Reuters.
Ancak, ihlalin Progress Software tarafından ilk kez ifşa edilmesinden iki aydan fazla bir süre sonra, kurbanların geçit töreni neredeyse hiç yavaşlamadı.
Kayıtlar, Progress’in MOVEit Transfer dosya yönetim programının hacklenmesinden şu ana kadar yaklaşık 40 milyon kişinin etkilendiğini gösteriyor.
Artık “cl0p” adlı bir grup olan dijital şantajcılar, verilerini kamuya açık hale getirme konusunda giderek daha agresif hale geldi.
Olay müdahale şirketi Surefire Cyber’in baş teknoloji sorumlusu Marc Bleicher, “Bunun çok, çok erken bir aşamasındayız” dedi.
“Sanırım gerçek etkiyi ve serpintiyi yolda görmeye başlayacağız.”
MOVEit, kuruluşlar tarafından büyük miktarlarda genellikle hassas verileri göndermek için kullanılır: emeklilik bilgileri, sosyal güvenlik numaraları, tıbbi kayıtlar, fatura verileri ve benzerleri.
Bu kuruluşların çoğu, verileri üçüncü taraflardan alan başkaları adına veri işlediğinden, saldırı bazen dolambaçlı şekillerde dışa doğru sarmal bir hal aldı.
Örneğin, cl0p, emeklilik fonu sahiplerinin hayatta kalan aile üyelerini bulma konusunda uzmanlaşmış, Pension Benefit Information adlı bir şirket tarafından kullanılan MOVEit yazılımını alt üst ettiğinde, New York merkezli Teachers Insurance and Anuity Association of America’nın verilerine erişim sağladılar. bu da birçoğu geçtiğimiz haftaları çalışanlarına maruz kaldıklarını bildirmekle geçen 15.000 kurumsal müşteri için emeklilik programlarını yönetiyor.
İhlalleri izlemeye başlayan ilk araştırmacılardan biri olan Huntress Security’den John Hammond, “Bu domino etkisi var” dedi.
Cl0p gibi gruplar tarafından yapılan saldırılar, uyuşturan bir düzenlilikle gerçekleşir.
Ancak MOVEit uzlaşmasının çok çeşitli kurbanları, onu, belirsiz bir yazılım parçasındaki tek bir kusurun küresel bir gizlilik felaketini nasıl tetikleyebileceğinin en görünür örneklerinden biri haline getirdi.
İngiliz Sophos firmasında siber güvenlik uzmanı olan Christopher Budd, ihlalin birbirine bağlı kuruluşların birbirlerinin dijital savunmalarında nasıl olduğunu hatırlattığını söyledi.
Progress, “gelişmiş ve ısrarcı bir siber suç grubunun” kurbanı olduğunu ve odak noktasının müşterilerini desteklemek olduğunu söyledi.
‘Binlerce şirket’
Progress’in soruşturmasına aşina olan iki kişiye göre, Cl0p’nin bilgisayar korsanlığı kampanyası 27 Mayıs’ta başladı.
Bu kaynaklara göre, ilerleme ilk olarak ertesi gün bir müşteri firmayı anormal bir faaliyet konusunda uyardığında uzlaşmadan haberdar oldu.
30 Mayıs’ta şirket bir uyarı gönderdi ve ertesi gün bilgisayar korsanlarının kampanyasını kısmen engelleyen bir yama yayınladı.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatında üst düzey bir yetkili olan Eric Goldstein, “Aslında birçok kuruluş, yamayı istismar edilmeden önce dağıtabildi” dedi.
Tüm kuruluşlar bu kadar şanslı değildi.
Çalınan malzeme miktarı veya etkilenen kuruluşların sayısıyla ilgili ayrıntılar halka açık değil, ancak güvenlik şirketi Arctic Wolf’un bir parçası olan Tetra Defense firması MOVEit ile ilgili düzinelerce olaya yanıt veren Nathan Little, ihlalin muhtemelen binlerce kişiyi etkilediğini tahmin ediyor. şirketler.
“Tam ayrıntılı sayıyı asla bilemeyebiliriz” dedi.
Bazı analistler takip etmeye çalıştı. Salı günü siber güvenlik şirketi Emsisoft, 39,7 milyon kişiyi etkileyen toplam 602 kurbana ulaştı.
Alman BT analisti Bert Kondruss da benzer rakamlar ortaya koydu. Reuters kamuya açık beyanlar, kurumsal dosyalamalar ve cl0p’nin gönderileri ile çapraz kontrol edilerek desteklenmiştir.
Kim maruz kaldı?
Eğitim kuruluşları – kolejler, üniversiteler ve hatta New York City devlet okulları – kurbanların dörtte birini oluşturdu, Emsisoft ve Kondruss yalnızca ABD’de 100’den fazla sayıyor.
Maruz kalma akademinin çok ötesine geçti.
Araba sürmek? Louisiana ve Oregon motorlu araç yetkilileri, yaklaşık 9 milyon kaydın ele geçirildiğini toplu olarak ifşa etti.
Emekli? California Kamu Çalışanlarının Emeklilik Sistemi ve T. Rowe Price gibi emeklilik yönetimi kuruluşları, Emeklilik Yardım Bilgileri yoluyla ihlal edildi.
Yalnızca ABD hükümeti yüklenicisi Maximus’taki ihlal, 8 ila 11 milyon kişinin kayıtlarının ele geçirilmesiyle sonuçlandı.
Zayıf bir gümüş astar mı? Bilgisayar korsanları, hepsini serbest bırakmak için çok fazla veri almış olabilir.
New York merkezli hukuk firması Crowell & Moring’in kıdemli danışmanı Alexander Urbelis, kurbanların bilgisayar korsanlarının gizli ağına ne kadar maruz kaldıklarını ölçmelerine yardımcı oldu, bilgisayar korsanlarının gıcırtılı darknet web sitesinden olağanüstü yavaş indirme hızlarının “herkes için neredeyse imkansız hale getirdiğini” söyledi. – iyi niyetli olsun ya da olmasın – “çalınan verilere erişmek için.”
ABD’li yetkili Goldstein, “birçok durumda” verilerin henüz sızdırılmadığını söyledi.
Geri dönmeyen Cl0p Reuters‘ mesajları, oyununu geliştirmeye çalışıyor gibi görünüyor.
Geçen ayın sonlarında, özellikle çalınan verileri daha iyi yaymayı amaçlayan web siteleri oluşturdu. Bu haftanın başlarında, eşler arası ağlar aracılığıyla verileri paylaşmaya başladı.
Surefire’dan Bleicher, bunun kurbanlar için kötü bir haber olduğunu söyledi.
“Bu veriler yavaş yavaş sızdırılmaya başladığında, yeraltında daha fazla ortaya çıkıyor” dedi. Buna karşılık, ihlalin etkisi “muhtemelen şimdi düşündüğümüzden çok daha büyük olacak.”