Som navnene på de første kendte ofre for MOVEit zero-day udnyttelse begyndte at rulle ind den 4. juni, linkede Microsoft kampagnen til Cl0p ransomware-outfittet, som den kalder "Lace Tempest." Det gør dette blot til det seneste i en række af meget lignende cyberangreb mod forskellige filoverførselstjenester fra banden.
Lige siden 1. juni, hvor Progress Software annonceret en nul-dages sårbarhed i deres MOVEit filoverførselsprogram har forskere og potentielt berørte organisationer forsøgt at samle brikkerne op. Analyse fra Mandiant antydede, at hackere var begyndt at udnytte nul-dagen allerede den foregående lørdag den 27. maj, mens trusselsefterretningsfirmaet Greynoise rapporterede observation "scanningsaktivitet for MOVEit Transfers login-side placeret på /human.aspx så tidligt som den 3. marts 2023."
Først inden for de sidste 24 timer er nogle bemærkelsesværdige ofre for denne kampagne begyndt at komme frem i lyset. Regeringen i Nova Scotia er i øjeblikket forsøger at måle hvor meget af dets borgeres data er blevet stjålet, og et brud hos Zellis, et britisk lønningsfirma, har forårsaget downstream-kompromiser for nogle af dets højprofilerede kunder, herunder Boots, BBCog British Airways.
Hvad angår tilskrivning, havde Mandiant siden den 2. juni behandlet gerningsmændene som en potentielt ny gruppe med potentielle links til FIN11 cyberkriminalitetsbanden, kendt for sine ransomware- og afpresningskampagner og status som Clop-partner. EN tweet offentliggjort søndag aften af Microsoft tilbød en mere definitiv konklusion:
"Microsoft tilskriver angreb, der udnytter CVE-2023-34362 MOVEit Overfør 0-dages sårbarhed til Lace Tempest, kendt for ransomware-operationer og drift af Clop-afpresningsstedet. Trusselsaktøren har tidligere brugt lignende sårbarheder til at stjæle data og afpresse ofre," lød tweetet.
"Denne trusselskuespiller er en, som vi har fulgt i årevis," siger Microsoft til Dark Reading. De er "en velkendt gruppe, der er ansvarlig for et betydeligt antal trusler gennem årene. Lace Tempest (overlap med FIN11, TA505) er en dominerende kraft i ransomware og nye afpresningslandskab."
Hvordan berørte organisationer skal reagere på CVE-2023-34362
For John Hammond, en senior sikkerhedsforsker for Huntress, som har været det sporing af sårbarheden i den seneste uge, vækker Microsofts tilskrivning store bekymringer for ofrene. "Jeg ved ikke, hvad der kommer til at ske. Vi har ikke set nogen krav om ransomware eller afpresning eller afpresning endnu. Jeg ved ikke, om vi sidder og venter, eller hvad der kommer ud af det næste gang," undrer han sig.
Den 2. juni udsendte Progress Software en patch til CVE-2023-34362. Men med beviser, der tyder på, at angriberne allerede udnyttede det så tidligt som 27. maj, hvis ikke 3. marts, er blot patchning ikke nok til, at eksisterende kunder kan betragtes som sikre.
For det første kan og kan alle data, der allerede er stjålet, bruges i opfølgende angreb. Som Microsoft påpeger, "har der været to slags ofre for Lace Tempest. For det første er ofre med en udnyttet server, hvor en web-shell blev tabt (og potentielt interageret med for at udføre rekognoscering). Den anden type er ofre, hvor Lace Tempest har stjålet data." Vi forventer, at deres næste skridt vil være afpresning af ofre, der har oplevet datatyveri."
Som et absolut minimum råder Hammond til, at kunderne ikke kun patcher, men også "går gennem disse logfiler, se hvilke artefakter der er der, se om du kan fjerne andre kroge og kløer. Selvom du patcher, skal du sørge for, at web-shell har blevet fjernet og slettet. Det er et spørgsmål om due diligence her."
Filoverførselstjenester under Cyber Fire
Ingen mængde af MOVEit-oprydning vil afhjælpe et dybere, underliggende problem, der ser ud til at være på det seneste: Det er tydeligt, at hackergrupper har identificeret filoverførselstjenester som en guldgrube for finansiel cyberkriminalitet.
For bare et par måneder siden, cyberkriminelle sværmede IBMs Aspera Faspex. En måned før det udførte Cl0p en kampagne med slående lighed med sidste uges indsats, dengang mod Fortras GoAnywhere-tjeneste. Det var ikke engang Cl0ps første indtog i filoverførselsbrud – år tidligere gjorde de det samme med Accelion.
Virksomheder, der trafikerer følsomme data med disse tjenester, bliver nødt til at finde en langsigtet løsning på det, der viser sig at være et endemisk problem. Præcis hvad den langsigtede løsning vil være, er dog uklart.
Hammond anbefaler at "prøve at begrænse din angrebsoverflade. Uanset hvad vi kan gøre for at reducere software, som vi enten ikke har brug for, eller applikationer, der kunne håndteres på en bedre, mere moderne måde. Det, tror jeg, er måske de bedste ord andre råd i øjeblikket end: patch."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 2023
- 24
- 27
- 3.
- a
- aktivitet
- rådgivning
- Affiliate
- mod
- luftveje
- allerede
- også
- beløb
- an
- ,
- foregribe
- enhver
- applikationer
- ER
- omkring
- AS
- At
- angribe
- Angreb
- tilbage
- bbc
- BE
- været
- før
- begyndt
- BEDSTE
- Bedre
- Afpresning
- Støvler
- brud
- brud
- Britiske
- britiske luftveje
- men
- by
- Opkald
- Kampagne
- Kampagner
- CAN
- forårsagede
- Borgere
- klar
- kunder
- CO
- Kom
- kommer
- selskab
- pågældende
- Bekymringer
- konklusion
- Adfærd
- betragtes
- kunne
- Kunder
- Cyber
- cyberangreb
- cyberkriminalitet
- mørk
- Mørk læsning
- data
- dybere
- endelige
- krav
- DID
- diligence
- do
- dominerende
- Don
- droppet
- grund
- Tidligt
- indsats
- enten
- smergel
- nok
- Ether (ETH)
- Endog
- bevismateriale
- præcist nok
- henrettet
- eksisterende
- erfarne
- Exploited
- afpresning
- Fall
- få
- File (Felt)
- finansielle
- Finde
- Firm
- Fornavn
- efter
- Til
- strejftog
- Tving
- fra
- Bande
- Go
- gå
- Regering
- gruppe
- Gruppens
- hacker
- hackere
- havde
- ske
- Have
- he
- link.
- høj-profil
- Kroge
- HOURS
- Hvordan
- HTTPS
- i
- IBM
- identificeret
- if
- in
- Herunder
- Intelligens
- ind
- Udstedt
- IT
- ITS
- John
- jpg
- juni
- Kend
- kendt
- landskab
- Efternavn
- seneste
- lys
- GRÆNSE
- forbundet
- links
- placeret
- Logge på
- større
- lave
- maerker
- Marts
- Matter
- Kan..
- blot
- microsoft
- minimum
- spejl
- Moderne
- øjeblik
- Måned
- måned
- mere
- bevæge sig
- meget
- navne
- Behov
- næste
- NIST
- bemærkelsesværdig
- roman
- nummer
- of
- tilbydes
- on
- ONE
- kun
- Produktion
- or
- organisationer
- Andet
- ud
- i løbet af
- side
- forbi
- patch
- lappe
- Lønningsliste
- pick
- stykker
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- potentiale
- potentielt
- Forud
- Problem
- Program
- Progress
- offentliggjort
- rejser
- ransomware
- RE
- Læs
- Læsning
- anbefaler
- reducere
- Fjern
- fjernet
- forsker
- forskere
- Svar
- ansvarlige
- Roll
- kører
- s
- sikker
- samme
- lørdag
- scanning
- Anden
- sikkerhed
- se
- synes
- set
- senior
- følsom
- Tjenester
- Shell
- bør
- signifikant
- lignende
- ganske enkelt
- siden
- websted
- Siddende
- Software
- løsninger
- nogle
- påbegyndt
- Status
- stjålet
- String
- tyder
- overflade
- fortæller
- end
- at
- tyveri
- deres
- Der.
- Disse
- de
- ting
- tror
- denne
- dem
- selvom?
- trussel
- trussel intelligens
- trusler
- Gennem
- tid
- til
- Trafik
- overførsel
- behandling
- prøv
- Drejning
- tweet
- to
- typen
- Uk
- under
- underliggende
- anvendte
- forskellige
- Ve
- meget
- ofre
- Sårbarheder
- sårbarhed
- Venter
- var
- var ikke
- Vej..
- we
- web
- uge
- Kendt
- var
- Hvad
- uanset
- hvornår
- som
- mens
- WHO
- vilje
- med
- ord
- år
- endnu
- dig
- Din
- zephyrnet