Tüketim ürünleri devi Procter & Gamble, Şubat ayı başlarında GoAnywhere MFT güvenli dosya paylaşım platformunun güvenliğinin ihlal edilmesinin ardından açıklanmayan sayıda çalışanı etkileyen bir veri ihlali olduğunu doğruladı.
Şirket, güvenlik ihlalinin arkasında kimin olduğunu söylemese de, bu, Clop fidye yazılımı çetesinin dünya çapındaki Fortra GoAnywhere güvenli depolama sunucularını hedef alan saldırılarıyla bağlantılı devam eden şantaj taleplerinin bir parçası.
Procter & Gamble’a göre saldırganlar, bazı verilerini çalmayı başarsalar da, çalışanların mali veya sosyal güvenlik bilgilerine erişemediler.
BleepingComputer’a konuşan Procter & Gamble, “P&G, Fortra’nın GoAnywhere olayından etkilenen birçok şirketten biri olduğunu doğrulayabilir. Bu olayın bir parçası olarak, yetkisiz bir üçüncü şahıs, P&G çalışanları hakkında bazı bilgiler elde etti.”
“Yetkisiz şahıslar tarafından elde edilen veriler, Sosyal Güvenlik numaraları veya ulusal kimlik numaraları, kredi kartı bilgileri veya banka hesap bilgileri gibi bilgileri içermiyordu.”
P&G, bu veri ihlalinin müşteri verilerini etkilediğine dair hiçbir kanıtı olmadığını ve olayı keşfettikten sonra Fortra’nın GoAnywhere güvenli dosya paylaşım hizmetlerini kullanmayı bıraktığını söylüyor.
“Şubat ayı başlarında bu olayı öğrendiğimizde, konunun mahiyetini ve kapsamını derhal araştırdık, engelliler [the] satıcının hizmetlerinin kullanımı ve çalışanlara bildirimde bulunuldu” diye ekledi şirket.
“Şu anda müşteri verilerinin bu sorundan etkilendiğine dair bir belirti yok. İş faaliyetlerimiz normal şekilde devam ediyor.”
Clop, 130’dan fazla kuruluştan dosya çaldığını iddia ediyor
Clop fidye yazılımı çetesi daha önce Bleeping Computer’a CVE-2023-0669 GoAnywhere güvenlik açığını sıfır gün olarak kullanarak 130’dan fazla kuruluşun güvenli depolama sunucularından veri çaldığını söylemişti.
İddiaya göre, bu hatayı hedefleyen açıklardan yararlanmaya açık İnternet’e açık sunucuları ihlal ettikten on gün sonra verileri çaldılar.
Tehdit aktörleri ayrıca, fidye yazılımı yüklerini dağıtmak için ağları üzerinden kolayca yanal olarak hareket edebilmelerine rağmen, yalnızca kurbanların güvenliği ihlal edilmiş dosya paylaşım platformlarında depolanan belgeleri çaldıklarını iddia etti.
Clop, 10 Mart’ta veri sızıntısı sitesine yedi şirket eklediğinde, GoAnywhere saldırılarının kurbanlarını alenen şantaj yapmaya başladı.
Şimdiye kadar, GoAnywhere ihlallerini ve Clop’un bunları zorla aldığını kabul eden kurbanların listesi arasında sağlık devi Community Health Systems (CHS), fintech platformu Hatch Bank, siber güvenlik firması Rubrik, Hitachi Energy, lüks marka perakendecisi Saks Fifth Avenue, ve Toronto Şehri, Kanada.
Kurbanlara gönderilen ve BleepingComputer tarafından görülen fidye notlarında, fidye yazılımı çetesi kendilerini “Clop hacker grubu” olarak tanıtıyor ve kurbanları, Clop’un sızıntı sitesinde çevrimiçi olarak yayınlanacak ve karaborsada satılacak olan hassas belgeleri çaldıkları konusunda uyarıyor. kurbanlar pazarlık yapmak istemiyorsa.
Fidye notlarında “GoAnywhere MFT kaynağınızdan önemli bilgileri çaldığımızı ve dosyaların tam listesini kanıt olarak eklediğimizi size bildirmek istiyoruz.”
“Kuruluşunuzu kasten açıklamadık ve önce sizinle ve liderliğinizle görüşmek istedik. Bizi görmezden gelirseniz, bilgilerinizi karaborsada satar ve günde 30-50 bin tekil ziyaretçi alan blogumuzda yayınlarız.” .”
Ayrıca 2020 Accellion ihlallerinin arkasında
Fidye yazılımı çetesinin kurbanların güvenli paylaşım sunucularından hassas dosyaları çalmak için sıfır gün GoAnywhere MFT kullandığı iddiası, Aralık 2020’de yaklaşık 100 şirketin verilerini çalmak için bir Accellion FTA sıfır gün güvenlik açığı kullanmaya çok benziyor.
Accellion saldırılarında Clop, büyük miktarda veri çaldı ve enerji devi Shell, siber güvenlik firması Qualys, süpermarket devi Kroger gibi yüksek profilli şirketlerden ve dünya çapındaki üniversitelerden (örn. Kaliforniya Üniversitesi).
Clop çetesi ayrıca en az 2019’dan beri fidye yazılımı saldırılarıyla bağlantılı, Software AG IT, Maastricht University, ExecuPharm ve Indiabulls dahil olmak üzere uzun bir dizi kurbanın sunucularındaki dosyaları şifreliyor ve çalıyor.