Όπως τα ονόματα των πρώτων γνωστών θυμάτων του την εκμετάλλευση του MOVEit zero-day άρχισε να κυκλοφορεί στις 4 Ιουνίου, η Microsoft συνέδεσε την καμπάνια με η στολή Cl0p ransomware, το οποίο αποκαλεί «Τρικυμία δαντέλας». Αυτό το καθιστά απλώς το τελευταίο σε μια σειρά πολύ παρόμοιων επιθέσεων στον κυβερνοχώρο εναντίον διαφόρων υπηρεσιών μεταφοράς αρχείων από τη συμμορία.
Από την 1η Ιουνίου, όταν το Progress Software ανακοίνωσε μια ευπάθεια zero-day στο πρόγραμμα μεταφοράς αρχείων MOVEit, ερευνητές και δυνητικά επηρεαζόμενοι οργανισμοί προσπαθούν να βρουν τα κομμάτια. Ανάλυση από τη Mandiant πρότεινε ότι οι χάκερ είχαν αρχίσει να εκμεταλλεύονται το zero-day ήδη από το προηγούμενο Σάββατο, 27 Μαΐου, ενώ η εταιρεία πληροφοριών απειλών Greynoise ανέφερε ότι παρατηρούσε "Δραστηριότητα σάρωσης για τη σελίδα σύνδεσης του MOVEit Transfer που βρίσκεται στη διεύθυνση /human.aspx ήδη από τις 3 Μαρτίου 2023."
Μόνο τις τελευταίες 24 ώρες άρχισαν να έρχονται στο φως ορισμένα αξιοσημείωτα θύματα αυτής της εκστρατείας. Η κυβέρνηση της Νέας Σκωτίας είναι αυτή τη στιγμή προσπαθεί να μετρήσει πόσα από τα δεδομένα των πολιτών της έχουν κλαπεί και μια παραβίαση στη Zellis, μια βρετανική εταιρεία μισθοδοσίας, έχει προκαλέσει συμβιβασμούς για ορισμένους από τους πελάτες υψηλού προφίλ της, συμπεριλαμβανομένης της Boots, το BBC, να βρετανικές Αερογραμμές.
Όσον αφορά την απόδοση, από τις 2 Ιουνίου, η Mandiant αντιμετώπιζε τους δράστες ως μια δυνητικά νέα ομάδα, με πιθανούς δεσμούς με η συμμορία του εγκλήματος στον κυβερνοχώρο FIN11, γνωστή για τις εκστρατείες ransomware και εκβιασμών και την ιδιότητά της ως θυγατρικής εταιρείας Clop. ΕΝΑ tweet που δημοσιεύτηκε το απόγευμα της Κυριακής από τη Microsoft προσέφερε ένα πιο οριστικό συμπέρασμα:
«Η Microsoft αποδίδει επιθέσεις που εκμεταλλεύονται το CVE-2023-34362 Το MOVEit Μεταφέρει ευπάθεια 0 ημερών στο Lace Tempest, γνωστό για τις λειτουργίες ransomware και τη λειτουργία του ιστότοπου εκβιασμού Clop. Ο ηθοποιός της απειλής έχει χρησιμοποιήσει παρόμοια τρωτά σημεία στο παρελθόν για να κλέψει δεδομένα και να εκβιάσει θύματα», έγραφε το tweet.
"Αυτός ο παράγοντας απειλής είναι ένας παράγοντας που παρακολουθούμε εδώ και χρόνια", λέει η Microsoft στο Dark Reading. Είναι "μια πολύ γνωστή ομάδα υπεύθυνη για σημαντικό αριθμό απειλών όλα αυτά τα χρόνια. Lace Tempest (επικαλύψεις με FIN11, TA505) είναι μια κυρίαρχη δύναμη στο ransomware και το αναδυόμενο τοπίο εκβιασμών."
Πώς πρέπει να ανταποκρίνονται τα επηρεαζόμενα όργανα στο CVE-2023-34362
Για τον John Hammond, έναν ανώτερο ερευνητή ασφαλείας για το Huntress που ήταν παρακολούθηση της ευπάθειας την περασμένη εβδομάδα, η απόδοση της Microsoft εγείρει μεγάλες ανησυχίες για τα θύματα. "Δεν ξέρω τι θα συμβεί στη συνέχεια. Δεν έχουμε δει ακόμη απαιτήσεις ransomware ή εκβιασμούς ή εκβιασμούς. Δεν ξέρω αν περιμένουμε ή τι θα γίνει μετά", αναρωτιέται.
Στις 2 Ιουνίου εκδόθηκε το Progress Software μια ενημερωμένη έκδοση κώδικα για το CVE-2023-34362. Αλλά με στοιχεία που δείχνουν ότι οι εισβολείς το εκμεταλλεύονταν ήδη από τις 27 Μαΐου, αν όχι στις 3 Μαρτίου, η απλή ενημέρωση κώδικα δεν αρκεί για να θεωρηθούν ασφαλείς οι υπάρχοντες πελάτες.
Πρώτον, όλα τα δεδομένα που έχουν ήδη κλαπεί μπορούν και μπορούν να χρησιμοποιηθούν σε επακόλουθες επιθέσεις. Όπως επισημαίνει η Microsoft, "υπήρξαν δύο είδη θυμάτων της καταιγίδας δαντέλας. Το πρώτο είναι θύματα με έναν εκμεταλλευόμενο διακομιστή όπου έπεσε ένα κέλυφος Ιστού (και πιθανώς αλληλεπίδρασε για να διεξαγάγει αναγνώριση). Ο δεύτερος τύπος είναι θύματα όπου το Lace Tempest έχει κλέψει δεδομένα." Αναμένουμε ότι η επόμενη κίνησή τους θα είναι ο εκβιασμός θυμάτων που έχουν υποστεί κλοπή δεδομένων».
Ως ελάχιστο, ο Hammond συμβουλεύει ότι οι πελάτες όχι μόνο επιδιορθώνουν, αλλά και "να περάσουν από αυτά τα αρχεία καταγραφής, να δουν τι αντικείμενα υπάρχουν, να δουν αν μπορείτε να αφαιρέσετε άλλα άγκιστρα και νύχια. Ακόμα κι αν επιδιορθώσετε, πηγαίνετε βεβαιωθείτε ότι το κέλυφος Web έχει έχει αφαιρεθεί και διαγραφεί. Είναι θέμα δέουσας επιμέλειας».
Υπηρεσίες μεταφοράς αρχείων υπό Cyber Fire
Καμία εκκαθάριση του MOVEit δεν θα λύσει ένα βαθύτερο, υποκείμενο πρόβλημα που φαίνεται να εμφανίζεται τον τελευταίο καιρό: Είναι σαφές ότι ομάδες χάκερ έχουν αναγνωρίσει τις υπηρεσίες μεταφοράς αρχείων ως χρυσωρυχείο για το οικονομικό έγκλημα στον κυβερνοχώρο.
Μόλις λίγους μήνες πριν, κυβερνοεγκληματίες κατέκλυσαν το Aspera Faspex της IBM. Ένα μήνα πριν από αυτό, το Cl0p πραγματοποίησε μια καμπάνια με εντυπωσιακή ομοιότητα με την προσπάθεια της περασμένης εβδομάδας, εκείνη την εποχή ενάντια στην υπηρεσία GoAnywhere της Fortra. Δεν ήταν καν η πρώτη επίθεση του Cl0p σε παραβιάσεις μεταφοράς αρχείων — χρόνια πριν, έκαναν το ίδιο στην Accelion.
Οι εταιρείες που διακινούν ευαίσθητα δεδομένα με αυτές τις υπηρεσίες θα πρέπει να βρουν μια πιο μακροπρόθεσμη λύση σε αυτό που αποδεικνύεται ενδημικό πρόβλημα. Ωστόσο, δεν είναι σαφές ποια ακριβώς θα είναι αυτή η πιο μακροπρόθεσμη λύση.
Ο Hammond συνιστά να "προσπαθήσετε να περιορίσετε την επιφάνεια επίθεσης. Ό,τι μπορούμε να κάνουμε για να μειώσουμε το λογισμικό που είτε δεν χρειαζόμαστε είτε τις εφαρμογές που θα μπορούσαν να χειριστούν με καλύτερο, πιο σύγχρονο τρόπο. Αυτά, νομίζω, είναι ίσως οι καλύτερες λέξεις συμβουλών αυτή τη στιγμή εκτός από: μπάλωμα."
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 1
- 2023
- 24
- 27
- 3
- a
- δραστηριότητα
- συμβουλές
- Υιοθετώ
- κατά
- αεραγωγών
- ήδη
- Επίσης
- ποσό
- an
- και
- προσδοκώ
- κάθε
- εφαρμογές
- ΕΙΝΑΙ
- γύρω
- AS
- At
- επίθεση
- Επιθέσεις
- πίσω
- bbc
- BE
- ήταν
- πριν
- άρχισε
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- Εκβιασμός
- Μπότες
- παραβίαση
- παραβιάσεις
- Βρετανοί
- british airways
- αλλά
- by
- κλήσεις
- Εκστρατεία
- Καμπάνιες
- CAN
- προκαλούνται
- Οι πολίτες
- καθαρός
- πελάτες
- CO
- Ελάτε
- ερχομός
- εταίρα
- ενδιαφερόμενος
- Πιθανά ερωτήματα
- συμπέρασμα
- Διεξαγωγή
- θεωρούνται
- θα μπορούσε να
- Πελάτες
- στον κυβερνοχώρο
- cyberattacks
- εγκλήματος στον κυβερνοχώρο
- σκοτάδι
- Σκοτεινή ανάγνωση
- ημερομηνία
- βαθύτερη
- οριστικός
- απαιτήσεις
- DID
- επιμέλεια
- do
- κυρίαρχο
- Don
- έπεσε
- δυο
- Νωρίς
- προσπάθεια
- είτε
- σμυριδόπετρα
- αρκετά
- Αιθέρας (ΕΤΗ)
- Even
- απόδειξη
- ακριβώς
- εκτελέστηκε
- υφιστάμενα
- έμπειρος
- Κακοποιημένα
- εκβιασμός
- Πτώση
- λίγοι
- Αρχεία
- οικονομικός
- Εύρεση
- Εταιρεία
- Όνομα
- Εξής
- Για
- Επιδρομή
- Δύναμη
- από
- Συμμορία
- Go
- μετάβαση
- Κυβέρνηση
- Group
- Ομάδα
- χάκερ
- χάκερ
- είχε
- συμβαίνω
- Έχω
- he
- εδώ
- υψηλό προφίλ
- άγκιστρα
- ΩΡΕΣ
- Πως
- HTTPS
- i
- IBM
- προσδιορίζονται
- if
- in
- Συμπεριλαμβανομένου
- Νοημοσύνη
- σε
- Εκδόθηκε
- IT
- ΤΟΥ
- Γιάννης
- jpg
- Ιούνιος
- Ξέρω
- γνωστός
- τοπίο
- Επίθετο
- αργότερο
- φως
- LIMIT
- συνδέονται
- ΣΥΝΔΕΣΜΟΙ
- που βρίσκεται
- Σύνδεση
- μεγάλες
- κάνω
- ΚΑΝΕΙ
- Μάρτιος
- ύλη
- Ενδέχεται..
- απλώς
- Microsoft
- ελάχιστο
- καθρέπτης
- ΜΟΝΤΕΡΝΑ
- στιγμή
- Μήνας
- μήνες
- περισσότερο
- μετακινήσετε
- πολύ
- ονόματα
- Ανάγκη
- επόμενη
- nist
- αξιοσημείωτο
- μυθιστόρημα
- αριθμός
- of
- προσφέρονται
- on
- ONE
- αποκλειστικά
- λειτουργίες
- or
- οργανώσεις
- ΑΛΛΑ
- έξω
- επί
- σελίδα
- Το παρελθόν
- Patch
- Διόρθωση
- Μισθολόγιο
- επιλέξτε
- κομμάτια
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- δυναμικού
- ενδεχομένως
- Πριν
- Πρόβλημα
- Πρόγραμμα
- Πρόοδος
- δημοσιεύθηκε
- αυξήσεις
- ransomware
- RE
- Διάβασε
- Ανάγνωση
- συνιστά
- μείωση
- αφαιρέστε
- Καταργήθηκε
- ερευνητής
- ερευνητές
- Απάντηση
- υπεύθυνος
- Ρολό
- τρέξιμο
- s
- ένα ασφαλές
- ίδιο
- Σάββατο
- σάρωσης
- Δεύτερος
- ασφάλεια
- δείτε
- φαίνεται
- δει
- αρχαιότερος
- ευαίσθητος
- Υπηρεσίες
- κέλυφος
- θα πρέπει να
- σημαντικός
- παρόμοιες
- απλά
- αφού
- ιστοσελίδα
- Συνεδρίαση
- λογισμικό
- λύση
- μερικοί
- ξεκίνησε
- Κατάσταση
- κλαπεί
- Σπάγγος
- προτείνω
- Επιφάνεια
- λέει
- από
- ότι
- Η
- κλοπή
- τους
- Εκεί.
- Αυτοί
- αυτοί
- πράγμα
- νομίζω
- αυτό
- εκείνοι
- αν και?
- απειλή
- απειλή νοημοσύνης
- απειλές
- Μέσω
- ώρα
- προς την
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- μεταφορά
- θεραπεία
- προσπαθώ
- Στροφή
- τιτίβισμα
- δύο
- τύπος
- Uk
- υπό
- υποκείμενες
- μεταχειρισμένος
- διάφορα
- Ve
- πολύ
- θύματα
- Θέματα ευπάθειας
- ευπάθεια
- Αναμονή
- ήταν
- δεν ήταν
- Τρόπος..
- we
- ιστός
- εβδομάδα
- πολύ γνωστό
- ήταν
- Τι
- ανεξαρτήτως
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- θα
- με
- λόγια
- χρόνια
- ακόμη
- εσείς
- Σας
- zephyrnet