Hitachi Energy, Onex, Saks Fifth Avenue, Rubrik’ten sonra Toronto Belediyesi, GoAnywhere MFT veri ihlalinden etkilenenlerin son kurbanı oldu. Toronto Şehri siber saldırısı, CVE-2023-0669 — Fortra GoAnywhere MFT RCE Güvenlik Açığı’nın sıfır gün istismarından yararlanılmasının bir sonucuydu.
20 Mart’ta Toronto Belediyesi, üçüncü taraf bir satıcı aracılığıyla sistemlerine yetkisiz bir şekilde erişildiğini fark etti. Bir Toronto Şehri sözcüsü, satıcının dosya aktarım sistemi aracılığıyla işlenemeyen dosyalara yetkisiz erişimin bulunduğunu doğruladı.
GoAnywhere güvenlik açığından yararlanan Toronto şehri siber saldırısı
Şehir yönetimi, Toronto Şehri siber saldırısının ayrıntılarını araştırıyor. Güvenlik olayı, istismarın uzaktan kod yürütülmesine izin verdiği Fortra GoAnywhere MFT güvenlik açığıyla bağlantılıdır. Güvenlik açığına 7.2 puan verildi ve bu da onu yüksek önem dereceli bir hata haline getiriyor. Ancak, 7.1.2 sürümünde yamalı.
Clop ransomware grubu, kuruluşlara güvenli dosya aktarım hizmeti sunan GoAnywhere’e erişim sağladıktan sonra 130’dan fazla kuruluşun sistemlerine eriştiklerini iddia etti.
Grup, yaklaşık 10 gün boyunca sistem verilerine erişebildi. Güvenlik açığı, grubun fidye yazılımı yüklerini başlatmak ve verileri şifrelemek için kötüye kullandığı ağ üzerinden yanal olarak hareket etmeye izin verdi.
Fidye yazılımının GoAnywhere MFT sunucularından veri çalmak için kullanıldığı iddia ediliyor.
Bir tweet’te, siber güvenlik araştırmacısı Brett Callow Toronto Şehri’ni şanssız olarak nitelendirdi. “Dosya aktarımı söz konusu olduğunda Toronto Belediyesi şanssızdı. İlk olarak, Accellion FTA’sı aracılığıyla ihlal edildi ve şimdi de Forta GoAnywhere aracılığıyla ihlal edildi.”
Bir Virgin sözcüsü ayrıca Birleşik Krallık’tan Virgin Red’in ABD tarafından mağdur edildiğini doğruladı. GoAnywhere istismarı.
Accellion FTA kullanımı
Callow, her iki güvenlik ihlalinde de suçlunun Clop fidye yazılımı grubu olduğunu belirtti.
Artık Kiteworks olarak bilinen Accellion, In., Clop tarafından bir güvenlik ihlaline maruz kaldı. Müşterilerine dosya aktarımı, hassas dosyaların güvenliğini sağlama, uygulama programlama arayüzü vb. hizmetler sunar.
Clop, 100’den fazla şirketten veri çalmak için 2020’de Accellion FTA’daki sıfır günlük bir güvenlik açığından yararlandı ve bu, küresel olarak müşterilere dosya aktarım hizmetleri sunan şirketlerin önemine ışık tutuyor.
Hassas verileri sızdırma tehdidiyle etkilenen şirketlerden 10 milyon dolarlık bir fidye talep edildi.
Kurbanlardan bazıları Kroger, Qualys, Colorado Üniversitesi, Miami Üniversitesi vb.
Cyclone Operasyonu adlı uluslararası bir yasa uygulama operasyonunda, Haziran 2021’de Ukrayna’da Clop’un altı üyesi tutuklandı.