Als Namen der ersten bekannten Opfer von die Zero-Day-Ausbeutung von MOVEit begann am 4. Juni mit der Einführung, Microsoft verlinkte die Kampagne mit das Cl0p-Ransomware-Outfit, das es „Lace Tempest“ nennt. Damit ist dies lediglich der jüngste in einer Reihe sehr ähnlicher Cyberangriffe der Bande auf verschiedene Dateiübertragungsdienste.
Seit dem 1. Juni, als Progress Software kündigte eine Zero-Day-Sicherheitslücke an In seinem MOVEit-Dateiübertragungsprogramm haben Forscher und potenziell betroffene Organisationen versucht, die Scherben zusammenzusuchen. Analyse von Mandiant deutete an, dass Hacker bereits am Samstag zuvor, dem 27. Mai, damit begonnen hätten, den Zero-Day auszunutzen, während das Threat-Intelligence-Unternehmen Greynoise berichtete, er habe beobachtet „Scanaktivität für die Anmeldeseite von MOVEit Transfer unter /human.aspx bereits ab dem 3. März 2023.“
Erst in den letzten 24 Stunden kamen einige bemerkenswerte Opfer dieser Kampagne ans Licht. Die Regierung von Nova Scotia ist versuche gerade abzuschätzen wie viele Daten seiner Bürger gestohlen wurden und ein Verstoß bei Zellis, einem britischen Lohn- und Gehaltsabrechnungsunternehmen, zu nachgelagerten Kompromittierungen bei einigen seiner namhaften Kunden geführt hat, darunter Boots, die BBC und British Airways.
Was die Namensnennung betrifft, hatte Mandiant die Täter bis zum 2. Juni als potenziell neuartige Gruppe mit potenziellen Verbindungen zu behandelt die Cybercrime-Bande FIN11, bekannt für seine Ransomware- und Erpressungskampagnen und seinen Status als Clop-Partner. A Tweet am Sonntagabend veröffentlicht von Microsoft lieferte eine definitivere Schlussfolgerung:
„Microsoft führt Angriffe aus, die das ausnutzen CVE-2023-34362 MOVEit Transfer 0-Day-Schwachstelle für Lace Tempest, bekannt für Ransomware-Operationen und den Betrieb der Clop-Erpressungsseite. „Der Bedrohungsakteur hat in der Vergangenheit ähnliche Schwachstellen ausgenutzt, um Daten zu stehlen und Opfer zu erpressen“, heißt es in dem Tweet.
„Dieser Bedrohungsakteur ist einer, den wir seit Jahren verfolgen“, sagt Microsoft gegenüber Dark Reading. Sie sind „eine bekannte Gruppe, die im Laufe der Jahre für eine beträchtliche Anzahl von Bedrohungen verantwortlich ist. Lace Tempest (Überschneidungen mit FIN11, TA505) ist eine dominierende Kraft in der Ransomware- und aufkommenden Erpressungslandschaft.“
Wie betroffene Organisationen auf CVE-2023-34362 reagieren sollten
Für John Hammond, einen leitenden Sicherheitsforscher bei Huntress Verfolgung der Sicherheitslücke in der vergangenen Woche, Microsofts Zuschreibung gibt bei den Opfern Anlass zu großer Sorge. „Ich weiß nicht, was als nächstes passieren wird. Wir haben noch keine Ransomware-Anforderungen oder Erpressung oder Erpressung gesehen. Ich weiß nicht, ob wir abwarten und was als nächstes dabei herauskommt“, fragt er sich.
Am 2. Juni veröffentlichte Progress Software ein Patch für CVE-2023-34362. Aber da es Hinweise darauf gibt, dass die Angreifer es bereits am 27. Mai, wenn nicht sogar am 3. März, ausgenutzt haben, reicht das bloße Patchen nicht aus, um bestehende Kunden als sicher zu betrachten.
Zum einen können und dürfen bereits gestohlene Daten für Folgeangriffe genutzt werden. Microsoft weist darauf hin, dass „es zwei Arten von Opfern von Lace Tempest gegeben hat. Erstens sind es Opfer mit einem ausgenutzten Server, auf dem eine Web-Shell abgelegt wurde (und mit dem möglicherweise interagiert wurde, um Aufklärung durchzuführen). Die zweite Art sind Opfer, bei denen Lace Tempest gestohlen hat.“ Daten." Wir gehen davon aus, dass ihr nächster Schritt die Erpressung von Opfern sein wird, die Opfer von Datendiebstahl geworden sind.“
Als absolutes Minimum rät Hammond den Kunden, nicht nur zu patchen, sondern auch „diese Protokolle durchzugehen, zu sehen, welche Artefakte vorhanden sind und ob Sie alle anderen Haken und Klauen entfernen können. Auch wenn Sie patchen, stellen Sie sicher, dass die Web-Shell über diese verfügt.“ entfernt und gelöscht. Hier kommt es auf die gebotene Sorgfalt an.“
Dateiübertragungsdienste unter Cyberangriff
Keine noch so große MOVEit-Bereinigung wird ein tiefer liegendes, zugrunde liegendes Problem lösen, das in letzter Zeit immer häufiger auftritt: Es ist klar, dass Hackergruppen Dateiübertragungsdienste als Goldgrube für finanzielle Cyberkriminalität identifiziert haben.
Nur ein paar Monate zurück, Cyberkriminelle schwärmten von IBMs Aspera Faspex. Einen Monat zuvor führte Cl0p eine Kampagne durch, die verblüffende Ähnlichkeit mit der Aktion der letzten Woche hatte gegen den GoAnywhere-Dienst von Fortra. Es war nicht einmal der erste Angriff von Cl0p auf Dateiübertragungsverstöße – Jahre zuvor hatten sie dasselbe mit Accelion gemacht.
Unternehmen, die mit diesen Diensten sensible Daten transportieren, müssen eine längerfristige Lösung für das aktuelle Problem finden. Wie genau diese längerfristige Lösung aussehen wird, ist jedoch unklar.
Hammond empfiehlt: „Versuchen Sie, Ihre Angriffsfläche zu begrenzen. Was auch immer wir tun können, um Software zu reduzieren, die wir entweder nicht benötigen, oder Anwendungen, die besser und moderner gehandhabt werden könnten. Das sind meiner Meinung nach vielleicht die besten Worte.“ Im Moment gibt es noch andere Ratschläge als: Patch.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :hast
- :Ist
- :nicht
- :Wo
- $UP
- 1
- 2023
- 24
- 27
- 3.
- a
- Aktivität
- Beratung
- Affiliate
- gegen
- Atemwege
- bereits
- ebenfalls
- Betrag
- an
- und
- erwarten
- jedem
- Anwendungen
- SIND
- um
- AS
- At
- Attacke
- Anschläge
- Zurück
- bbc
- BE
- war
- Bevor
- begonnen
- BESTE
- Besser
- Erpressung
- Stiefel
- Verletzung
- Verstöße
- Briten
- British Airways
- aber
- by
- Aufrufe
- Kampagnen (Campaign)
- Kampagnen
- CAN
- verursacht
- Bürger
- klar
- Kunden
- CO
- wie die
- Kommen
- Unternehmen
- betroffen
- Bedenken
- Abschluss
- Leiten
- betrachtet
- könnte
- Kunden
- Cyber-
- Cyber-Angriffe
- Cyber-Kriminalität
- Dunkel
- Dunkle Lektüre
- technische Daten
- tiefer
- definitiv
- Anforderungen
- DID
- Fleiß
- do
- dominant
- Don
- fallen gelassen
- zwei
- Früh
- Anstrengung
- entweder
- aufstrebenden
- genug
- Äther (ETH)
- Sogar
- Beweis
- genau
- ausgeführt
- vorhandenen
- erfahrensten
- Exploited
- Erpressung
- Fallen
- wenige
- Reichen Sie das
- Revolution
- Finden Sie
- Fest
- Vorname
- Folgende
- Aussichten für
- Beutezug
- Zwingen
- für
- Bande
- Go
- gehen
- der Regierung
- Gruppe an
- Gruppen
- Hacker
- Hacker
- hätten
- passieren
- Haben
- he
- hier
- hochkarätig
- Haken
- STUNDEN
- Ultraschall
- HTTPS
- i
- IBM
- identifiziert
- if
- in
- Einschließlich
- Intelligenz
- in
- Herausgegeben
- IT
- SEINE
- Peter
- jpg
- Juni
- Wissen
- bekannt
- Landschaft
- Nachname
- neueste
- !
- LIMIT
- verknüpft
- Links
- located
- login
- Dur
- um
- MACHT
- März
- Materie
- Kann..
- nur
- Microsoft
- Minimum
- Spiegel
- modern
- Moment
- Monat
- Monat
- mehr
- schlauer bewegen
- viel
- Namen
- Need
- weiter
- nist
- bemerkenswert
- Roman
- Anzahl
- of
- angeboten
- on
- EINEM
- einzige
- Einkauf & Prozesse
- or
- Organisationen
- Andere
- übrig
- Seite
- passt
- Patch
- Patchen
- Payroll
- wählen
- Stücke
- Plato
- Datenintelligenz von Plato
- PlatoData
- Punkte
- Potenzial
- möglicherweise
- Vor
- Aufgabenstellung:
- Programm
- Fortschritt
- veröffentlicht
- wirft
- Ransomware
- RE
- Lesen Sie mehr
- Lesebrillen
- empfiehlt
- Veteran
- entfernen
- Entfernt
- Forscher
- Forscher
- Reagieren
- für ihren Verlust verantwortlich.
- Rollen
- Laufen
- s
- safe
- gleich
- Samstag
- Scannen
- Zweite
- Sicherheitdienst
- sehen
- scheint
- gesehen
- Senior
- empfindlich
- Leistungen
- Schale
- sollte
- signifikant
- ähnlich
- einfach
- da
- am Standort
- Sitzend
- Software
- Lösung
- einige
- begonnen
- Status
- gestohlen
- Schnur
- vorschlagen
- Oberfläche
- erzählt
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Diebstahl
- ihr
- Dort.
- Diese
- vom Nutzer definierten
- Ding
- think
- fehlen uns die Worte.
- diejenigen
- obwohl?
- Bedrohung
- Bedrohungsanalyse
- Bedrohungen
- Durch
- Zeit
- zu
- der Verkehr
- privaten Transfer
- Bearbeitung
- versuchen
- Drehung
- Tweet
- XNUMX
- tippe
- Uk
- für
- zugrunde liegen,
- benutzt
- verschiedene
- Ve
- sehr
- Opfer
- Sicherheitslücken
- Verwundbarkeit
- Warten
- wurde
- war
- Weg..
- we
- Netz
- Woche
- bekannt
- waren
- Was
- was auch immer
- wann
- welche
- während
- WHO
- werden wir
- mit
- Worte
- Jahr
- noch
- U
- Ihr
- Zephyrnet