Forta’nın GoAnywhere hack’inin ardından başka bir organizasyonun güvenliği ihlal edildi. Community Health Systems’in ardından, Kanada’nın varlık yönetimi şirketi Onex olan Hatch Bank, GoAnywhere güvenlik olayından etkilendiğini doğruladı.
51 milyar doları aşan varlıklara sahip olan Onex, GoAnywhere MFT olayı nedeniyle şirketin sistemlerinin doğrudan değerlendirilmediğini veya ihlal edilmediğini, ancak güvenliğinin ve verilerinin dolaylı olarak etkilendiğini belirtti.
Clop fidye yazılımı grubu, Onex’i sızıntı sitesindeki hedef listesine eklemeden önce birden çok kez listeledi ve listeden çıkardı.
Onex verileri açığa çıktı
Bir IT World Canada raporuna göre, Onex’in verileri açığa çıktıktan sonra belirtilmemiş miktarda şirket bilgisine erişildi.
Adının açıklanmaması koşuluyla Onex sözcüsü, haber kuruluşuna verilerin GoAnywhere aracılığıyla değerlendirildiğini söyledi.
“Bazı verilere sahip olmamızdan etkilenen üçüncü taraf bir sağlayıcıydı. [with] bu etkilenmiştir. Müvekkillerimizle uygun şekilde ilgileniyoruz” dediler. Ancak, etkilenen verilerin boyutu veya herhangi bir fidye talebi hakkında hiçbir ayrıntı paylaşılmadı.
GoAnywhere fidye yazılımı saldırısı nasıl başladı?
Fortra GoAnywhere MFT’de sıfır gün güvenlik açığı
Clop fidye yazılımı grubu, Fortra GoAnywhere MFT güvenli dosya paylaşım çözümündeki CVE-2023-0669 sıfır günlük bir güvenlik açığından yararlandı.
GoAnywhere MFT’nin geliştiricileri, açığa çıkan yönetici konsollarında sıfırıncı gün uzaktan kod yürütme güvenlik açığından yararlanmalar konusunda müşterilerini uyarmaya başladı.
Bu güvenlik açığından yararlanmak için, VPN veya izin verilenler listesindeki IP adresleri aracılığıyla özel bir şirket ağına erişim gerekiyordu. Bu nedenle, yönetim konsolu çevrimiçi olarak gösterilmelidir.
Siber güvenlik araştırmacısı Kevin Beaumont, internette kaç tane açığa çıkmış GoAnywhere bulut sunucusu olduğunu bulmak için bir Shodan taraması yaptı.
Çoğunlukla Amerika Birleşik Devletleri’nde olmak üzere 1.008 sunucu olduğunu ve yönetici konsollarının çoğunun 8ooo ve 8oo1 bağlantı noktalarını kullandığını buldu. Bu bağlantı noktalarından 100’den fazla açığa çıkmış yönetici konsolu tespit edildi.
2 Şubat’ta ilk kez bildirildiğinde, bu güvenlik açığı için herhangi bir yama mevcut değildi. 7 Şubat’ta Fortra tarafından GoAnywhere MFT sıfır gün güvenlik açığı için bir acil durum yaması (7.1.2) yayınlandı.
Onex’in verilerinin ifşa olmasına yol açan istismar
Fidye yazılımı grubu bir haber kuruluşuna verdiği demeçte, Clop’un on günden fazla bir süre boyunca açıktan yararlandığını ve 130 şirketten veri çaldığını söyledi. Mart ayında, GoAnywhere güvenlik açığının kötüye kullanılması nedeniyle Clop tarafından gasp edildiğine dair raporlar ortaya çıktı.
GoAnywhere Müşterileri
GoAnywhere, şirketler tarafından şifrelenmiş dosyalarını güvenli bir şekilde değiş tokuş etmek için kullanılan bir dosya aktarım çözümüdür. Enerji, finans, eğlence, sağlık vb. ile ilgili kuruluşlar tarafından kullanılır.
Clop’un çeşitli ajanslara hitap eden ağları hedef aldığı bilinmektedir. 2021’de fidye yazılımı grubu, aynı zamanda bir dosya aktarım hizmeti olan Accellion FTA’yı hedef aldı.
Clop fidye yazılımı, grubun verilerini çalmayı başardığı şirketlerden fidye talep etmeye başladı.
Clop fidye yazılımı grubu tarafından mağdur edilen şirketler
Community Health Systems (CHS) ve Hatch Bank, GoAnywhere’e yönelik Clop fidye yazılımı saldırısında verilerinin çalındığı haberleriyle öne çıkan şirketler arasında yer aldı.
Silikon Vadisi güvenlik firması Rubrik ayrıca, büyük olasılıkla GoAnywhere sıfır gün kusuru istismarından kaynaklanan yetkisiz erişime maruz kaldığını doğruladı.
Clop ise sızdırdığı siteye Hatch Bank dahil 7 şirketin adını ekledi ve daha yakın zamanda Onex.