3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Dava, Grup Davası Statüsü Arıyor; Clop Fidye Yazılımı Grubu Hala Çalınan Verileri Boşaltıyor
Mathew J. Schwartz (euroinfosec) •
22 Haziran 2023
Fallout for Progress Software, MOVEit dosya aktarım yazılımını kullanan yüzlerce özel ve kamu sektörü kuruluşunu etkilemiş gibi görünen büyük bir veri ihlaliyle devam ediyor.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
İhlalden etkilenen bir avuç kişi, New Bedford, Massachusetts merkezli Progress Software’e karşı toplu dava statüsü talep eden bir dava açtı. Davacılar Shavonne Diggs, Brady Bradberry ve Christina Bradberry, Progress’i bireylerin kişisel verilerini “uygun şekilde güvenceye almamak ve korumakla” suçlayarak onları artan kimlik hırsızlığı riskiyle karşı karşıya bırakmakla suçluyorlar.
Davacılar ayrıca, Progress’i etkilenen bireyleri zamanında bilgilendirmemekle ve kişisel verileri daha iyi koruyabilecek ve kuruluşun “ihlali keşfetmesini” sağlayacak “veri güvenliği uygulamalarını hem uygun şekilde izlememek hem de düzgün bir şekilde uygulamamakla” suçluyor. Er.”
Davacıları temsil eden New York merkezli hukuk firması Siri & Glimstad LLP, Bloomberg Law’un ilk kez bildirdiği üzere Salı günü Massachusetts federal mahkemesinde dava açtı.
Sıfır Gün Saldırısı
İlerleme ilk olarak 31 Mayıs’ta CVE-2023-34362 olarak izlenen SQL güvenlik açığını kamuya açıkladı ve yamaladı.
O zamandan beri Clop fidye yazılımı grubu, saldırganların British Airways, Shell ve ABD Enerji Bakanlığı gibi kuruluşlara bağlı hassas verileri çalmasına olanak tanıyan MOVEit yazılımındaki sıfır gün açığından yararlanma sorumluluğunu üstlendi.
Clop, fidye yazılımı grupları tarafından uygulanan tipik gasp taktikleri olan fidye ödemesi talep ederek ve ödeme yapmayanlar için veri sızdırarak kurbanları tehdit etmeye devam ediyor. Grup tarafından iddia edilen son MOVEit kurbanları arasında Sony ve danışmanlık şirketleri PwC ve EY yer alıyor.
Birden çok kuruluş, eyaletlerin veri ihlali bildirim kurallarının gerektirdiği şekilde, etkilenen bireyleri MOVEit ile ilgili ihlaller hakkında bilgilendirmeye başladı.
Önerilen toplu dava davasındaki davacılar, eyaletin Motorlu Taşıtlar Dairesi’nden bilgi çalan saldırganlardan etkilenen tüm Louisiana sakinleridir. 15 Haziran’da ajans, devlet tarafından verilmiş bir ehliyet, kimlik veya araba ruhsatı olan tüm sakinlere, saldırının muhtemelen Sosyal Güvenlik numaralarını, ehliyet numaralarını, araç kayıt bilgilerini, doğum tarihlerini ve diğer kişisel bilgilerini ifşa ettiğini bildirdi. OMV, “Bütün Louisianlılar kimliklerini korumak için acil adımlar atmalı” uyarısında bulundu.
Tedarik Zinciri Saldırıları
Bu, bir fidye yazılımı grubunun ve hatta Clop’un yaygın olarak kullanılan dosya aktarım yazılımını içeren bir tedarik zinciri saldırısı başlatması ilk kez değil. Bu yılın başlarında Clop, Fortra’nın yaygın olarak kullanılan yönetilen dosya aktarım yazılımı GoAnywhere MFT’nin müşterilerinden veri çalmak için sıfırıncı gün güvenlik açığından yararlanan büyük ölçekli bir saldırı kampanyasının sorumluluğunu üstlendi.
GoAnywhere saldırıları 25 Ocak’ta başlamış gibi görünüyor ve Fortra, istismar edilen güvenlik açığı için 7 Şubat’ta bir yama yayınladı. O zamandan beri, kurbanlar, Fortra’ya karşı federal mahkemede toplu olarak önerilen çok sayıda toplu dava açtı.
Olay müdahale firması Kroll’daki güvenlik araştırmacıları, Clop’un MOVEit güvenlik açığından haberdar olduğunu ve en az Temmuz 2021’den beri manuel saldırılar yoluyla bu güvenlik açığını denediğini söyledi.
Kroll, kusurun otomatik “toplu istismarının”, görünüşe göre Amerika Birleşik Devletleri’ndeki Anma Günü tatil hafta sonundan yararlanmak için zamanlanmış bir saldırı kampanyasında 27-28 Mayıs’a kadar başlamadığını söyledi.
Kroll’un araştırmacıları, “Clop tehdit aktörleri, GoAnywhere MFT güvenli dosya aktarım aracı istismarından önce potansiyel olarak MOVEit Transfer güvenlik açığı için bir istismara sahipti … ancak saldırıları paralel yerine sırayla gerçekleştirmeyi seçti.”
Sadece Clop mu Katıldı?
Clop, MOVEit güvenlik açığından yararlanarak yüzlerce kuruluştan hassas verileri çalmış gibi görünse de, bu fidye yazılımı grubunun sıfır gün kusurunu hedefleyen tek çete olup olmadığı konusunda sorular soruluyor.
BBC’nin Çarşamba günü bildirdiğine göre Clop, Zellis’in bilgilerin çalındığını söylemesine rağmen, BBC, Boots ve British Airways için – Birleşik Krallık bordro sağlayıcısı Zellis aracılığıyla elde edilen – çalınan verilere sahip olmadığını iddia etti.
Clop, BBC’ye “Bu verilere sahip değiliz ve Zellis’e bundan bahsettik. Elimizde yok” dedi.
Uzmanlar, suç örgütünün yalan söylüyor olabileceğini söylüyor – bu bir fidye yazılımı grubu bunu ilk kez yapmıyor – veya belki başka bir bilgisayar korsanı grubu da MOVEit sıfır gün açığını yamalanmadan önce kullanıyor olabilir. Clop, BBC’ye gönderdiği bir mesajda, diğer saldırganların güvenlik açığından yararlandığını veya verileri çalmak için kullandığını şiddetle reddetti.
Clop tarafından istismar edilen sıfır gün kusuru tanımlanıp yamalandığından, Progress daha sonra iki sıfır gün SQL enjeksiyon güvenlik açığı daha bildirdi ve düzeltti – 9 Haziran’da CVE-2023-35708 ve 15 Haziran’da CVE-2023-35036.
Tanıtıcıyı kullanan bir güvenlik araştırmacısı @MCKSysAr üçüncü sıfır günü keşfetti – ve dördüncüyü keşfettiğini düşündü. Bloomberg’in bildirdiği gibi, daha sonra Progress tarafından yapılan ve sözde dördüncü güvenlik açığının bir kusur olmadığı değerlendirmesini doğruladı, çünkü olası açıklardan yararlanma MOVEit yazılımı tarafından otomatik olarak engelleniyor.