Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale
Güvenli Dosya Paylaşım Yazılımından Veri Çalınmasından 2.050 Kuruluş Etkilendi
Mathew J. Schwartz (euroinfosec) •
25 Eylül 2023
Clop fidye yazılımı grubunun güvenli dosya aktarım yazılımlarına yönelik en son toplu hedeflemesinden etkilenen kuruluşların sayısı geçen hafta iki katına çıktı. Veri hırsızlığı kampanyasını takip eden uzmanlar, şu anda 2.000’den fazla kuruluşun doğrudan veya dolaylı olarak mağdur edildiğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Clop, dosya aktarım sunucularında depolanan verileri çalmak için MOVEit’teki sıfır gün güvenlik açığından yararlanarak 27 Mayıs civarında toplu saldırı kampanyasını başlattı. Progress Software, 31 Mayıs’ta kusur için bir güvenlik uyarısı ve yama yayınladı, ancak Clop’un veri hırsızlığının tamamı olmasa da çoğu zaten sonuçlanmış gibi görünüyordu.
Kurbanların tümü hassas verileri kaybetmese de yüzlerce kuruluş, bilgisayar korsanlarının kişisel kimlik bilgilerini çaldığını bireylere bildirmeye başladı. Alman danışmanlık şirketi KonBriefing Pazartesi günü, saldırıda 54 ila 59 milyon kişinin kişisel bilgilerinin açığa çıktığını tahmin etti.
Güvenlik firması Emsisoft, Cuma günü MOVEit yazılım saldırılarından en az 2.053 kuruluşun etkilendiğini tahmin etti. Bu, etkilenen kuruluşların sayısının yaklaşık 1.190 olduğu bir hafta öncesine göre keskin bir artış.
Ulusal Öğrenci Takas Odası’nın Kaliforniya eyaleti başsavcılığına yaklaşık 900 kolej ve üniversiteye ait verilerin MOVEit sunucusundan çalındığını bildirmesiyle bilinen kurban sayısı Perşembe günü arttı.
“Kaç mevcut ve eski öğrencinin etkilendiği belirsizliğini koruyor” dedi Brett CallowEmsisoft’ta tehdit analisti olarak görev yapan, eski adıyla Twitter olarak bilinen sosyal medya platformu X aracılığıyla. National Students Clearinghouse, ABD’de 3.500’den fazla kolej ve üniversiteyle birlikte çalışır ve 17,1 milyon mevcut ortaöğretim sonrası öğrenciye ilişkin verileri depolar.
Saldırıda çalınan dosyalar arasında kişilerin isimleri, doğum tarihleri, iletişim bilgileri, Sosyal Güvenlik numaraları, öğrenci kimlik numaraları ile ders kayıtları ve aldıkları dereceler gibi bazı eğitim kayıtları yer alıyordu. NSC, “Bu sorundan etkilenen veriler kişiye göre değişir” dedi. Etkilenen kişilere Kroll aracılığıyla iki yıllık ön ödemeli kimlik hırsızlığı izleme hizmetleri sunuyor.
Cuma günü, bir dizi başka kuruluş MOVEit veri ihlali bildirimlerini yayınladı veya güncelledi. Finansal hesaplara veya ödemelere bağlı sahipsiz mülkiyet taleplerini takip eden üçüncü taraf hizmet sağlayıcısı Sovos Compliance, 20 Temmuz’da birlikte çalıştığı etkilenen tüm şirketlere saldırılarda hangi verilerinin çalındığı konusunda bilgi verdiğini söyledi. Cuma günü şirket, etkilenen 181.507 kişiye ehliyet numaralarının veya devlet tarafından verilen kimlik numaralarının çalındığını doğrudan bildirmeye başladı ve onlara Kroll aracılığıyla iki yıllık ön ödemeli kimlik hırsızlığı izleme hizmetleri sundu.
Merkezi Louisiana ve çevre eyaletlerdeki finans kurumlarına veri işleme ve destek hizmetleri sağlayan West Monroe, Louisiana merkezli Financial Institution Service Corp., 753.261 kişiye güvenlik veya erişim kodu da dahil olmak üzere ödeme kartı verilerinin çalındığını bildirmeye başladı. saldırılar. FISC, kurbanlara Kroll aracılığıyla 12 ay boyunca kimlik hırsızlığı izleme olanağı sunuyor.
Racine, Wisconsin’deki Johnson Financial Group, Cuma günü 93.093 kişiye saldırılarda finansal hesap bilgilerinin veya ödeme kartı verilerinin (güvenlik veya erişim kodu dahil) çalındığını bildirmeye başladı. Kurbanlara ChexSystems aracılığıyla iki yıllık kimlik hırsızlığı izleme olanağı sunuyor.
Tekrarlanan Dosya Aktarımı Saldırıları
MOVEit saldırıları, Clop’un veri çalmak ve fidye için tutmak amacıyla yaygın olarak kullanılan güvenli dosya aktarım yazılımını dördüncü kez hedef aldığını ve büyük olasılıkla bu tür saldırıları başlatmaya devam edeceğini söyledi, EMEA’dan sorumlu baş istihbarat yetkilisi ve EMEA genel müdürü Teresa Walsh FS-ISAC, finansal hizmetler sektörünün bilgi paylaşım ve analiz merkezi (bkz: Clop’un MOVEit Tedarik Zinciri Saldırılarından Alınacak Dersler).
“Bu tür sistemleri daha önce hedef aldılar ve tekrar hedef alacaklar çünkü bu onlar için başarılı” dedi. “Neden başarılı formüllerini tekrar tekrar denemiyorlar?”
Fidye yazılımı olayına müdahale firması Coveware’in bildirdiğine göre, Clop, kampanyasının ilk günlerinde daha büyük kurbanlardan birkaç büyük fidye ödemesi yoluyla 75 ila 100 milyon dolar arası kazanç elde etmiş olabilir. Kuruluşlar, Clop’un sızıntı sitesinde isimlerinin yer almayacağını garanti etmek için fidye ödemiş olabilir.
Haziran ayında Clop, devlet kurumlarından çaldığı tüm verileri tamamen sildiğini iddia etmesine rağmen, fidye ödemeyi reddeden kurbanların isimlerini veri sızıntısı sitesinde yayınlamaya başladı. Daha sonra çalınan verileri sızdırmaya başladı.
Grup, veri sızıntısı sitesine gönderdiği, gramer açısından sorunlu bir mesajda, “Verileri internete, verilerin korunmadığı bir yere koyarsanız, sızma testi hizmeti verdiğimiz için bizi suçlamayın” iddiasında bulundu. “Biz sadece finansal motivasyona sahibiz ve siyasetle hiçbir ilgimiz yok.”
Zaman zaman gaspçılar, çaldıkları devasa miktarda veriyi etkili bir şekilde sızdırmak için mücadele ediyordu. Aon, EY, Kirkland ve TD Ameritrade gibi bazı mağdur kuruluşlar için Clop, büyük miktarda çalıntı veriyi barındıracak bağımsız web siteleri oluşturdu; ancak bu siteler, muhtemelen internet servis sağlayıcılarının yasal olarak yayından kaldırma bildirimleri alması nedeniyle çok kısa bir süre çevrimiçi kaldı. .
Clop’un sıfır gün güvenlik açıkları aracılığıyla güvenli dosya aktarım yazılımına saldırma eğilimi göz önüne alındığında, FS-ISAC’den Walsh, Bilgi Güvenliği Medya Grubu’na, bu tür yazılımları kullanan tüm kuruluşların, şifreleme ve erişim kontrolleri de dahil olmak üzere, onu kilitlemeye yönelik en iyi uygulamaları gözden geçirmesi ve veriler üzerinde pratik yapması gerektiğini söyledi. aktarılan verileri bu tür sunuculardan hızlı bir şekilde kaldırarak en aza indirme.
MOVEit yazılımlarıyla bu tür “iyi siber hijyen uygulamalarını” zaten takip eden kuruluşların, Clop tarafından çok daha az hassas verinin çalındığını göreceğini söyledi.