Toronto şehri, Clop fidye yazılımı çetesinin devam eden GoAnywhere bilgisayar korsanlığı çılgınlığında vurulan son kurbanları arasında yer alıyor.
Toronto şehir yönetiminin yanında listelenen diğer kurbanlar arasında Birleşik Krallık’taki Virgin Group ve yasal şirket olan Emeklilik Koruma Fonu yer alıyor.
Clop, Fortra’nın GoAnywhere güvenli dosya aktarım aracındaki bir uzaktan kod yürütme açığından yararlanarak şimdiye kadar 130’dan fazla kuruluşa sızmayı başardığını iddia ediyor.
Toronto şehri veri hırsızlığını doğruladı
Clop fidye yazılımı çetesi, savunmasız GoAnywhere dosya aktarım yardımcı programını çalıştıran kuruluşları hedef alan devam eden saldırılarında Toronto Şehri’ni vurdu.
Tehdit istihbaratı analistine göre, fidye yazılımı grubu daha önce kurbanı veri sızıntısı olan karanlık web sitesinde listelemişti. Dominik Alvierigeliştirmeyi izleyen ve bulguyu BleepingComputer ile paylaşan.
Toronto Belediyesi sözcüsü BleepingComputer’a “20 Mart’ta Belediye, Şehir verilerine olası yetkisiz erişimin farkına vardı,” dedi.
“Bugün Toronto Belediyesi, City verilerine yetkisiz erişimin üçüncü taraf bir satıcı aracılığıyla gerçekleştiğini onayladı. Erişim, üçüncü taraf güvenli dosya aktarım sistemi aracılığıyla işlenemeyen dosyalarla sınırlıdır.”
Sözcü, Şehir yönetiminin belirlenen dosyaların ayrıntılarını aktif olarak araştırdığını belirtti.
“Toronto Belediyesi, bilgileri kendi gözetiminde ve kontrolünde olan ve günlük olarak siber saldırıları başarıyla savuşturan Torontoluların mahremiyetini ve güvenliğini korumaya kendini adamıştır.”
Toronto, Clop’un GoAnywhere adlı bir Fortra (eski adıyla HelpSystems) programının savunmasız sürümlerini çalıştıran kurbanlar listesinden biridir.
Artık CVE-2023-0669 olarak izlenen kusur, saldırganların yönetim konsolları İnternet erişimine açıkken yama uygulanmamış GoAnywhere MFT örneklerinde uzaktan kod yürütmesine olanak tanıyor.
Fortra daha önce müşterilerine güvenlik açığından sıfırıncı gün olarak yararlanıldığını açıklamış ve müşterilerini sistemlerini düzeltmeye teşvik etmişti.
Şubat ayında Clop, BleepingComputer’a ulaştı ve kurumsal sunuculardaki bu özel güvenlik açığından yararlanarak on gün boyunca 130’dan fazla kuruluşu ihlal ettiğini ve verilerini çaldığını iddia etti. Ve o zamandan beri, kurbanların listesi her gün büyümeye devam ediyor.
Bu ay, Hitachi Energy, Saks Fifth Avenue ve siber güvenlik şirketi Rubrik, Clop’un sıfırıncı günden kaynaklanan etkisini açıkladı.
Clop, Birleşik Krallık’ın devlet emeklilik fonu Virgin Red’i vurdu
Clop’un bu haftaki kurbanları arasında Birleşik Krallık’taki Virgin Red, Virgin Group’un müşterilerin Virgin Atlantic gibi Virgin işletmelerinde ve diğer ortak kuruluşlarda puan kazanmasını ve harcamasını sağlayan ödül kulübü de yer alıyor.
Bir Virgin sözcüsü BleepingComputer’a “Kısa bir süre önce, tedarikçimiz GoAnywhere’e yapılan bir siber saldırı yoluyla bazı Virgin Red dosyalarını yasa dışı bir şekilde ele geçiren, kendilerine Cl0p adını veren bir fidye yazılımı grubu bizimle temasa geçti.”
Söz konusu dosyalar hiçbir kişisel veri içermediğinden müşteriler veya çalışanlar için herhangi bir risk oluşturmamaktadır.”
Dosya aktarım yazılımı satıcısının etkisini onaylayan başka bir kuruluş, Çalışma ve Emeklilik Bakanlığı Dışişleri Bakanı aracılığıyla Birleşik Krallık Parlamentosuna karşı sorumlu yasal bir kamu kuruluşu olan Birleşik Krallık Emeklilik Koruma Fonu’dur (PPF).
PPF’nin durumunda, fidye yazılımı ve gasp grubu çalışan verilerini ele geçirmeyi başardı.
Örgütten yapılan açıklamada, “Maalesef mevcut ve eski çalışanlarımızdan bazıları potansiyel ihlalden etkilenmiştir.”
“Durumdan etkilenenlerin hepsini zaten bilgilendirdik ve onlara yardımcı olmak için desteğimizi ve ek izleme hizmetlerimizi sunduk.”
PPF, o zamandan beri GoAnywhere’i kullanmayı bıraktı ve soruşturma faaliyetlerinin bir parçası olarak Fortra, güvenlik ortakları ve kolluk kuvvetleriyle yakın bir şekilde çalışmaya devam ediyor.
“Hangi verilerin ele geçirilmiş olabileceğini anlamak ve potansiyel olarak etkilenmiş herhangi biriyle iletişime geçmek bizim önceliğimiz oldu. Mevcut üyelerimize ve vergi ödeyenlere, verilerinin hiçbirinin ihlale karışmadığına dair güvence verebiliriz.”
“Kendi sistemlerimizin tehlikeye atılmadığını vurgulamak isteriz ve en yüksek bilgi güvenliği standartlarına ve sertifikalarına göre çalışarak tetikte olmaya devam ediyoruz…”
Güvenlik açığı bulunan GoAnywhere güvenli dosya aktarım yardımcı programını çalıştıran kuruluşlar, kendilerini bu tür siber saldırılardan korumak için sistemlerini mümkün olan en kısa sürede yamamalıdır.