Dolandırıcılık Yönetimi ve Siber Suçlar , Olay ve İhlal Müdahalesi , Fidye Yazılımı
İhlal Bildirimleri, 40 Milyondan Fazla Bireyin Kişisel Bilgilerinin Açığa Çıktığını Söyledi
Mathew J. Schwartz (euroinfosec) •
10 Ağustos 2023
En az 621 kuruluş, Mayıs ayı sonlarında MOVEit dosya aktarım sunucularına yönelik sıfır gün saldırısından etkilendiğini doğruladı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Perşembe günü Alman siber güvenlik firması KonBriefing tarafından bildirilen bu sayı, MOVEit sunucularına erişilen kuruluşları ve Progress Software tarafından oluşturulan dosya aktarım aracını kullanan bir veya daha fazla kuruluşla çalıştıkları için dolaylı olarak etkilenen kuruluşları içeriyor.
Güvenlik şirketi Emsisoft’un bildirdiğine göre, Rusça konuşan Clop fidye yazılımı grubu, saldırılarının bir sonucu olarak, şimdiye kadar etkilenen kuruluşlar tarafından yayınlanan veri ihlali bildirimlerine dayanarak en az 40 milyon kişinin kişisel bilgilerini içeren verileri çaldı.
Etkilendiği bilinen kişilerin sayısı artacak çünkü birçok kuruluş olayı hâlâ araştırıyor gibi görünüyor. Missouri’nin Sosyal Hizmetler Departmanını içerirler.
Salı günü yapılan bir veri ihlali bildiriminde devlet kurumu, eyaletteki Medicaid kullanıcılarının kişisel bilgilerinin hizmet sağlayıcı IBM’in MOVEit sunucusundan çalınmış gibi göründüğünü söyledi.
“DSS, erişildiğine inanılan dosyaların bir kopyasını almayı başardı ve biz hala bu dosyaların içeriğini analiz ediyoruz” dedi. “Dosyaların boyutu ve biçimi nedeniyle bu analizi tamamlamak biraz zaman alacak.”
Etkilenmiş olabilecek herkes, kimlik hırsızlığı belirtilerini izleyebilmeleri için DSS tarafından bilgilendiriliyor. Teşkilat, kesinlikle mağdur olduğunu belirlediği herkesle tekrar iletişime geçeceğine söz verdi. DSS, “Bu olayla ilgili bilgiler, bir kişinin adını, departman müşteri numarasını, doğum tarihini, olası yardım uygunluk durumunu veya kapsamını ve tıbbi talep bilgilerini içerebilir.” Dedi.
Clop’un ABD Tatili İçin Muhtemel Zamanlanmış Saldırısı
Clop, yüksek oranda otomatikleştirilmiş toplu saldırısını 27 Mayıs civarında başlattı ve muhtemelen ABD’nin Anma Günü tatil hafta sonundan yararlanmak için zamanlandı. Grubun, Progress Software’in yazılımındaki sıfırıncı gün güvenlik açığına nasıl sahip olduğu bilinmiyor. Bu, Clop’un toplu bir saldırı yoluyla dosya aktarım araçları kullanıcılarını dördüncü kez hedef almasıdır.
İlerleme ilk olarak 31 Mayıs’ta CVE-2023-34362 olarak izlenen SQL güvenlik açığını kamuya açıkladı ve yamaladı.
Birden çok kuruluş doğrudan değil, hizmet sağlayıcılarını kullanmaları nedeniyle MOVEit saldırılarının kurbanı oldu. Missouri’nin DSS’sine ek olarak, ABD’deki 3.500’den fazla kolej ve üniversiteyle çalışan ve 17.1 milyon mevcut ortaöğretim sonrası öğrenciye ilişkin verileri olan Ulusal Öğrenci Takas Merkezi’ni içerirler.
Yaygın olarak kullanılan bir başka hizmet sağlayıcı ve MOVEit kullanıcısı, vefat eden poliçe sahiplerinin yanı sıra lehdarlarının belirlenmesi de dahil olmak üzere finansal hizmet şirketlerinin düzenleyici gerekliliklere uymasına yardımcı olan PBI Araştırma Hizmetleri’dir.
Fidye yazılımı olay müdahale firması Coveware, Clop’un kampanyasının ilk günlerinde daha büyük kurbanlardan birkaç çok büyük fidye ödemesi yoluyla 75 ila 100 milyon dolar kazanmış olabileceğini tahmin ediyor.
Haziran ayında Clop, fidye ödemeyi reddeden kurbanların isimlerini veri sızıntısı sitesine göndermeye başladı. Grup, devlet kurumlarından çaldığı tüm bilgileri sildiğini iddia etmesine rağmen, bazı kuruluşlardan çaldığı verileri de sızdırıyor.
En Çok Mağdur Olan İlk 10 Kuruluş
organizasyon | Etkilenen Bireyler |
Maximus Inc. | 8 milyondan 11 milyona |
Louisiana Motorlu Taşıtlar Ofisi | 4,6 milyondan 6 milyona |
Oregon Sürücü ve Motorlu Taşıt Hizmetleri | 3.5 milyon |
Amerika Öğretmen Sigortası ve Yıllık Gelir Derneği* | 2.63 milyon |
Genworth* | 2,5 milyondan 2,7 milyona |
Performans Sağlık Teknolojisi | 1,7 milyon |
Wilton Reasürans A.Ş.* | 1.48 milyon |
Milliman Solutions LLC* | 1.28 milyon |
Allegheny İlçesi | 967.690 |
F&G Emeklilik ve Hayat/Vefa ve Garanti Hayat Sigortası A.Ş.* | 873.000 |
Bazen veriler Clop’un kendi karanlık web sitesi aracılığıyla sızdırılır. Diğer durumlarda, grup çalınan verileri BitTorrent dosyaları aracılığıyla yayınladı. Bunlar merkezi olmayan ve kapatılması zor olsa da, ne kadar geniş çapta ekilmiş ve bu nedenle erişilebilir olabilecekleri açık değil.
Bleeping Computer’ın bildirdiğine göre, bazı durumlarda Clop, çalınan verileri barındırmak için özel web siteleri de oluşturdu – özellikle Aon, EY, Kirkland ve TD Ameritrade için – ancak bunlar çok kısa bir süre çevrimiçi kaldı. Bu sitelerin kolluk kuvvetleri tarafından mı, yasal yayından kaldırma bildirimleriyle mi yoksa dağıtılmış hizmet reddi saldırılarıyla mı kapatıldığı net değil.
Son günlerde Clop, Salı gününden itibaren çalınan tüm bilgileri fidye ödemeyen kurbanlar için çöpe atmakla tehdit etti. Clop, Tor tabanlı sızıntı sitesinde, “Verileriniz clearweb ve Tor’da yayınlanacak ve büyük şirketler için Google’ın verilerinizi dizine eklemesine yardımcı olmak için clearweb URL’si oluşturuyoruz,” diye tehdit etti Clop. “Ayrıca tüm veriler torrent’e gidiyor ve indirme hızı çok hızlı. Daha fazlasını saklamıyorsunuz.”
Clop’un çok fazla çalıntı bilgi sızdırma konusundaki önceki pratik zorluklarına dayanarak, son iddiaları boş bir kabadayılık olabilir.
Daha Fazla Dava
MOVEit kampanyasının kurbanları toplu olarak, ihlal edilen kuruluşlara karşı toplu dava statüsü talep eden çok sayıda federal dava açtı.
Haziran sonunda, verileri eyaletin Motorlu Taşıtlar Dairesi’nden çalındığında mağdur olan Louisiana sakinleri, New Bedford, Massachusetts merkezli Progress Software’e dava açtı. Davacılar satıcıyı, bireylerin kişisel verilerini “uygun şekilde güvenceye almamak ve korumakla” suçlayarak onları kimlik hırsızlığı riskine maruz bırakmakla suçladı.
Geçen ay, davacılar Johns Hopkins Üniversitesi ve Johns Hopkins Sağlık Sistemi aleyhine parasal tazminat ve kuruluşun güvenlik uygulamalarını iyileştirmesini gerektiren ihtiyati tedbir talebinde bulunan iki dava açtı.
California Kamu Çalışanları Emeklilik Sistemi – diğer adıyla CalPERS – üyeleri, CalPERS hizmet sağlayıcıları olan Emeklilik Yardımı Bilgileri – diğer adıyla PBI Araştırma Hizmetleri – ve The Berwyn Group aleyhine dava açtı.
Son günlerde MOVEit’i kullanan ve Clop’un vurduğu Amerika Öğretmenler Sigorta ve Emeklilik Derneği veya TIAA, Rochester Üniversitesi ve Maximus Federal Hizmetleri gibi diğer kuruluşlara karşı benzer davalar açıldı.