3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Kurban Raporlarının %20’sine Göre 20 Milyon Bireyin Ayrıntıları Toplu Olarak Çalındı
Mathew J. Schwartz (euroinfosec) •
21 Temmuz 2023
Clop fidye yazılımı grubunun MOVEit dosya aktarım yazılımı kullanıcılarına yönelik saldırısından etkilenen kuruluşların sayısı artmaya devam ediyor.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Alman siber güvenlik araştırma şirketi KonBriefing’e göre Cuma günü itibariyle 400’den fazla kuruluş Clop’un verilerini aldığını doğruladı.
Etkilenen bazı kuruluşlar, Rusça konuşan Clop grubu MOVEit Transfer yazılımlarına saldırdığında ihlal edildi, diğerleri ise Clop’un MOVEit kullanan hizmet sağlayıcılarından bir veya daha fazlasına saldırması nedeniyle kurban oldu.
Yeni Zelanda merkezli kötü amaçlı yazılım önleme firması Emsisoft’ta tehdit analisti olan Brett Callow, saldırılarda kişisel verileri çalınan kişilerin sayısının şu anda 20 milyonu geçtiğini söyledi. Kurban sayısı, bugüne kadar etkilenen bireylerin sayısını ölçen 70’ten az veri ihlali ifşasına dayanmaktadır; Mağdur örgütlerin %80’i henüz bu tür bilgileri paylaşmadı. Bu nedenle, gerçek kurban sayısı muhtemelen çok daha fazladır.
MOVEit ihlallerinin çoğu, Clop’un MOVEit’te CVE-2023-34362 olarak izlenen sıfır gün güvenlik açığını hedeflediği 30 Mayıs ve 31 Mayıs tarihlerinde gerçekleşti. MOVEit satan Massachusetts merkezli Progress Software, 31 Mayıs’ta kusuru düzelterek daha fazla saldırıyı engelledi.
Progress Software, mağdurlar tarafından açılan en az bir toplu davanın hedefi haline geldi. Progress’i, bireylerin kişisel verilerini “uygun şekilde güvenceye almamak ve korumak” konusunda başarısız olmakla, onları kimlik hırsızlığı riskine maruz bırakmakla suçluyorlar.
Bugüne kadar bilinen kurbanların çoğu ABD merkezli olsa da, KonBriefing şimdiye kadar 32 kurbanın Almanya’da, 22’sinin Kanada’da ve 18’inin Birleşik Krallık’ta ve ayrıca 20’den fazla ülkede bir avuç daha fazla olduğunu söyledi. Clop, görünüşe göre kurbanlar fidye ödemeyi reddettikleri için, yeni kurban adlarını, tipik olarak 10’lu gruplar halinde, veri sızıntısı sitesinde yavaş yavaş yayınlıyor. Etkilenen kuruluşların kaç tanesinin, adının verilmemesi sözü karşılığında gruba fidye ödediği belirsizliğini koruyor.
Bilinen Kurban Listesi Büyüyor
American Airlines, British Airways, Shell, ABD Enerji Bakanlığı, çok sayıda emeklilik şirketi, Louisiana Motorlu Taşıtlar Departmanı ve uzun bir üniversite listesi dahil olmak üzere bir dizi büyük isimli kuruluş Clop’un kurbanı oldu.
Son günlerde, kuruluşlar kaç kişinin kişisel bilgilerinin – tipik olarak Sosyal Güvenlik numaralarının – ifşa edildiğini ayrıntılandıran veri ihlali bildirimleri yayınladıkça daha fazla kurban gün ışığına çıktı: Fidelity & Guaranty Life Insurance Co., 873.000 kurban; Indiana’daki 1. Kaynak Bankası, 450.000 kurban; Pennsylvania’daki Franklin Mint Federal Credit Union, 141.000 kurban; PokerStars olarak iş yapan TSG Interactive US Services Limited, 110.291 kurban; Iowa’daki Athene Annuity and Life Company, 70.412 kurban; ve Massachusetts Mutual Life Co., diğer adıyla MassMutual, 242 kurban.
MOVEit kampanyasından etkilenen toplam kuruluş sayısına ilişkin tahminler, açık bir soru olmaya devam ediyor. Maine Başsavcılığına yapılan bir veri ihlali bildiriminde 1st Source Bank, “yakın zamanda MOVEit yazılımı güvenlik açığından etkilenmiş olabilecek dünya çapındaki tahmini 2.500 kuruluştan biri” diyor. Banka bu tahmin için herhangi bir kaynak sağlamadı.
Hizmet Sağlayıcıların Bileşik Etkisi
Bu tür bir analizi karmaşık hale getiren şey, birden çok hizmet sağlayıcının Clop’un saldırılarına kurban gitmesi ve kampanyasının etkisini artırmasıdır. Kurbanlardan biri, emeklilik planlarına ve sigortacılara, müşterilerin ne zaman öldüğünü belirlemelerini, ölüm tazminatlarını tetiklemelerini ve sunmalarını gerektiren düzenleyici kurallara uymalarına yardımcı olan üçüncü taraf hizmet sağlayıcısı PBI Research Services idi. PBI şimdi, saldırının birden çok müşteri adına depoladığı en az 1,2 milyon kişinin verilerini tehlikeye attığını söylüyor.
MOVEit kampanyasının bir diğer kurbanı olan hizmet sağlayıcı, 15.000’den fazla kurumla çalışan ve 5 milyon aktif ve emekli çalışana hizmet veren Öğretmenler Sigorta ve Yıllık Gelir Derneği oldu. Clop’un saldırısının ona karşı etkisini araştırmaya devam ediyor. Emsisoft, şu anda 3.600 kolej ve üniversiteye kayıtlı 17.1 milyon öğrencinin verilerini işleyen ve ABD’deki mevcut lise sonrası kayıtların yüzde 97’sini temsil eden Ulusal Öğrenci Takas Merkezi’nin de öyle olduğunu söyledi – “ve önceki yıllarda kayıtlı olan öğrenciler.” Kaç tanesi de etkilenebilir?
Uzmanların fikir birliği, MOVEit veri ihlallerinin tam boyutunu tahmin etmek için çok erken olduğu yönünde. KonBriefing Research genel müdürü Bert Kondruss, “Bilinen kurbanların sayısı önümüzdeki haftalarda kesinlikle artacak” dedi.