BT pazar araştırma şirketi KonBriefing Research’e göre, Anma Günü’nde savunmasız internete bakan MOVEit Transfer kurulumlarına yapılan saldırıdan kaynaklanan bilinen Cl0p kurbanlarının sayısı 420’yi aştı.
Siber şantaj grubu son zamanlarda, PwC gibi büyük şirketleri zorlama umuduyla (yalnızca özel yazılımlarla erişilebilen “karanlık ağ” yerine) “yüzey ağ” üzerinde şirkete özel sızıntı siteleri kurmaya yöneldi. EY fidyeyi ödemek için. Ama yapacaklar mı?
Birçok kurbanı olan bir hack
Cl0p’nin saldırısı, siber suçlu grubunun, kurban kuruluşlar veya üçüncü taraf hizmet sağlayıcılar tarafından yürütülen MOVEit Transfer kurulumlarından hassas bilgileri sızdırmasıyla sonuçlandı.
Emsisoft’tan Zach Simas, “Örnek olarak, MOVEit’ten etkilenen Ulusal Öğrenci Takas Merkezi, ABD’de 3.500’den fazla okulla ortaktır ve bu okulların her biri potansiyel olarak etkilenebilir” dedi.
Bordro ve İK çözümleri sağlayıcısı Zellis başka bir örnektir: bazı müşterileri etkilenmiştir.
“Pek çok MOVEit olayındaki yukarı/aşağı akış son derece karmaşıktır ve bazı kuruluşlar, MOVEit kullanan bir taşeron kullanan bir yüklenici kullanan bir satıcı kullandıkları için etkilenmektedir. Ek olarak, bazı kuruluşlar birden fazla satıcı aracılığıyla MOVEit’e maruz kaldı,” dedi Simas.
Veri hırsızlığı ve siber şantaj
Cl0p (aka FIN11) çetesi 2019’da faaliyete geçti ve daha önce kurumsal kurbanların verilerini sızdırdıktan sonra şifrelemek için fidye yazılımı kullanıyordu.
Bu özel durumda, muhtemelen kurban kuruluşların sızdırılan verilerin başka kopyalarına sahip olduğunu varsaydıkları için veri hırsızlığı ve gasp üzerine yoğunlaştılar. Bu, sıfırıncı gün güvenlik açığına dayanan bir “parçala ve yakala” operasyonuydu ve zaman çok önemliydi.
Grup, MOVEit hack’inden sonra haraç müzakeresi için kuralları kamuoyuna açıkladı, ancak şimdiye kadar kaç kuruluşun fidyeyi ödediği bilinmiyor.
Coveware araştırmacıları yakın zamanda, 2023’ün 2. çeyreğinde, kurbanın ödeme yapmasıyla sonuçlanan veri hırsızlığı saldırılarının yüzdesinin %29 olduğunu belirtti.
Siber şantaj saldırıları, fidye yazılımı saldırılarından daha az yıkıcıdır ve kurban, çalınan verilerin saldırganlar tarafından silineceğinden asla emin olamaz.
Belki de CloP grubunun kurbanlardan yaptığı ortalama talebi önemli ölçüde artırmasının nedenlerinden biri de budur.
Araştırmacılar, “MOVEit kampanyası 1.000’den fazla şirketi doğrudan ve bir kat daha dolaylı olarak etkileyebilirken, kurbanların çok çok küçük bir yüzdesi ödemeyi düşünmek şöyle dursun pazarlık yapmaya zahmet etti” dedi ve ekledi: “CloP grubunun MOVEit kampanyasından sadece 75-100 milyon dolar kazanması muhtemeldir ve bu meblağ çok yüksek fidye ödemelerine yenik düşen bir avuç kurbandan gelir.”