3. Taraf Risk Yönetimi , Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi
Kurban Sayısı 370 Kuruluş, 20 Milyon Kişi – ve Artması Muhtemel
Mathew J. Schwartz (euroinfosec) •
18 Temmuz 2023
İşletmeler, devlet kurumları ve onların müşterileri için MOVEit sıfırıncı gün ihlali ne kadar kötü? Kısa cevap, Clop fidye yazılımı grubu saldırısının bilinen sonuçlarının zaten kötü göründüğü ve devam eden soruşturmalar 20 milyonluk kurban sayısına eklendikçe daha da kötüye gitmeye devam ettiğidir.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Clop – namı diğer Cl0p – fidye yazılımı grubu, Progress Software’in yaygın olarak kullanılan MOVEit dosya aktarım yazılımını hedef alan saldırıların sorumluluğunu üstlendi. Grup, yazılımdaki sıfırıncı gün güvenlik açığını hedefleyerek, yazılıma erişmesine ve verileri çalmasına izin verdi. Saldırıların çoğu 30 Mayıs ve 31 Mayıs tarihlerinde gerçekleşmiş gibi görünüyor.
İlerleme, 31 Mayıs’ta sıfır gün güvenlik açığını yamalayarak daha fazla açıktan yararlanmayı engelledi. Bundan önce Clop, henüz bilinmeyen sayıda kuruluştan başarılı bir şekilde veri çalmış ve bilinmeyen sayıda kişiyi etkilemişti.
Salı günü itibariyle güvenlik firması Emsisoft’un sayısı, etkilendiği bilinen yaklaşık 370 kuruluş ve 20 milyon kişinin kişisel verilerinin açığa çıktığı biliniyor. İhlal edilen kuruluşların %10’undan daha azı, kaç kişinin kişisel bilgilerinin çalındığını ölçmüştür.
Clop daha önce fidye yazılımı saldırıları başlatmış olsa da, MOVEit kampanyasının yalnızca veri hırsızlığını içerdiği görülüyor.
Clop, veri sızıntısı sitesine günlük olarak, genellikle 10’lu gruplar halinde ek kurbanlar gönderiyor. Bir kuruluş Clop’un sitesine gönderildiğinde, bu genellikle kurbanın fidye ödemeyi reddettiği anlamına gelir. Adlarının listelenmemesi için kaç kuruluşun fidye ödediği ve çalınan verilerinin silineceğine söz verdiği bilinmiyor.
Son zamanlarda listelenen kurbanlar arasında üretici ITT, Allegiant Air ve American Airlines, İrlanda’nın İletişim Düzenleme Komisyonu, kozmetik devi Estée Lauder, iletişim ekipmanı üreticisi Sierra Wireless, yazılım firmaları Bluefin Payment Systems ve Ventiv Technology ve TJ Maxx, Marshalls ve diğer mağazalar.
İngiliz medya düzenleyicisi Ofcom da Clop’un sitesinde listelendi. Düzenleyici geçen ay MOVEit bilgisayar korsanlarının 412 çalışanın kişisel verileriyle birlikte “düzenlediğimiz bazı şirketler hakkında sınırlı miktarda bilgi – bazıları gizli” çaldığını açıkladı.
Clop, çaldığı ve devlet kurumlarıyla ilgili tüm bilgileri sildiğini iddia ediyor. Grup, veri sızıntısı sitesinde “Hükümet, şehir veya polis teşkilatıysanız endişelenmeyin, tüm verilerinizi sildik” diyor. “Bizimle iletişime geçmenize gerek yok. Bu tür bilgileri ifşa etmekle hiçbir ilgimiz yok.”
Yakın zamanda açıklanan diğer kurbanlar arasında Alaska, Colorado, Dayton, Delaware, Georgia, Idaho, Illinois, Loyola, Missouri, Oklahoma, Rochester, Southern Illinois, Temple, Utah, Wake Forest, Washington State, Webster ve Worcester State üniversiteleri yer alıyor.
Bir refah platformu sunan Vitality Group International, Pazartesi günü bir ihlal güncellemesi yayınladı ve yaklaşık 2.800 kişiye, adlarının veya başka bir kişisel tanımlayıcının ve Sosyal Güvenlik numaralarının ifşa edildiğini bildirdiğini söyledi. Şirket, etkilenen tüm bireylere 24 aylık Experian kredi izleme ve kimlik hırsızlığı koruması hizmetleri sunduğunu söyledi.
Kurban Sayısı Artmaya Devam Ediyor
Kuruluşların MOVEit araştırmaları devam ederken, etkilenen kuruluş ve bireylerin sayısının artmaya devam etmesini bekleyin.
Birden fazla hizmet sağlayıcı tarafından ihlal araştırmaları devam ediyor ve muhtemelen müşterilerinden daha fazla zincirleme ihlal raporu alınmasına yol açacak. Bu tür soruşturmalar, en azından bazıları NSC’nin MOVEit ihlalinden etkilenip etkilenmediklerini duymayı beklediklerini bildiren 3.600 kolej ve üniversite ile çalışan Ulusal Öğrenci Takas Merkezi’nde devam ediyor gibi görünüyor.
Teachers Insurance and Anuity Association ve çok sayıda finansal hizmet firmasıyla çalışan nüfus yönetimi şirketi PBI Research Services’ta da soruşturmalar sürüyor.
Verilerinin ihlal edildiğini onaylayan PBI müşterileri arasında Fidelity, Genworth Financial ve diğerlerinin yanı sıra ABD’deki en büyük kamu emeklilik fonunu yöneten California Kamu Çalışanları Emeklilik Sistemi yer alıyor.
Cuma günü PBI, ABD Sağlık ve İnsan Hizmetleri Departmanını yaklaşık 1,2 milyon kişiyi ilgilendiren bir ihlal konusunda uyardı. Bu, finansal hizmetler şirketi Milliman Solutions tarafından Pazartesi günü açıklanan ve bireylerin Sosyal Güvenlik numaralarının çalındığını bildiren aynı veri ihlali olabilir.
Milliman Solutions, PBI’nin etkilenen tüm bireylere 12 ay boyunca “kredi izleme, dolandırıcılık danışmanlığı ve kimlik hırsızlığı restorasyon hizmetleri sağlamak” için Kroll ile birlikte çalıştığını söyledi.