Nagu esimeste teadaolevate ohvrite nimed MOVEiti nullpäeva kasutamine 4. juunil alustas Microsoft kampaaniat Cl0p lunavarariietus, mida see nimetab "Pitsitormiks". See teeb sellest kõigest viimase väga sarnaste küberrünnakute reas, mis on suunatud jõugu erinevate failiedastusteenuste vastu.
Alates 1. juunist, mil Progress Software teatas nullpäeva haavatavusest oma failiedastusprogrammis MOVEit on teadlased ja potentsiaalselt mõjutatud organisatsioonid püüdnud tükke üles korjata. Mandiandi analüüs väitis, et häkkerid hakkasid nullpäeva ära kasutama juba eelmisel laupäeval, 27. mail, samal ajal kui ohuluurefirma Greynoise teatasid vaatlemisest "Skannimine MOVEit Transferi sisselogimislehe jaoks, mis asub aadressil /human.aspx juba 3. märtsil 2023."
Alles viimase 24 tunni jooksul on hakanud päevavalgele tulema mõned selle kampaania märkimisväärsed ohvrid. Nova Scotia valitsus on üritab praegu mõõta kui palju tema kodanike andmeid on varastatud ja rikkumine Ühendkuningriigi palgaarvestusettevõttes Zellis on põhjustanud mõnele tema kõrgetasemelisele kliendile, sealhulgas Bootsile, allavoolu kompromisse, BBCja British Airways.
Mis puudutab omistamist, siis 2. juuni seisuga kohtles Mandiant kurjategijaid potentsiaalselt uudse grupina, millel võib olla seoseid küberkuritegevuse jõuk FIN11, mis on tuntud oma lunavara- ja väljapressimiskampaaniate ning Clopi sidusettevõtte staatuse poolest. A säuts avaldati pühapäeva õhtul Microsoft pakkus kindlama järelduse:
"Microsoft omistab rünnakutele, mis kasutavad ära CVE-2023-34362 MOVEit Teisaldage 0-päevane haavatavus Lace Tempestile, mis on tuntud lunavaraoperatsioonide ja Clopi väljapressimissaidi käitamise poolest. Ohunäitleja on minevikus kasutanud sarnaseid turvaauke andmete varastamiseks ja ohvrite väljapressimiseks," seisis säutsus.
"Seda ohutegijat oleme jälginud juba aastaid," ütleb Microsoft Dark Readingile. Nad on "tuntud rühmitus, kes vastutab aastate jooksul märkimisväärse hulga ohtude eest. Lace Tempest (kattub FIN11-ga, TA505) on lunavara ja areneva väljapressimise maastikul domineeriv jõud."
Kuidas mõjutatud organisatsioonid peaksid CVE-2023-34362-le reageerima?
John Hammondile, Huntressi vanemjulgeolekuteadurile, kes on olnud haavatavuse jälgimine eelmisel nädalal, tekitab Microsofti omistamine ohvritele suurt muret. "Ma ei tea, mis edasi saab. Lunavaranõudmisi ega väljapressimist ega väljapressimist pole veel näinud. Ma ei tea, kas jääme ootama või mis sellest edasi saab," imestab ta.
2. juunil anti välja tarkvara Progress plaaster CVE-2023-34362 jaoks. Kuid kuna on tõendeid, mis viitavad sellele, et ründajad kasutasid seda juba 27. mail, kui mitte 3. märtsil, siis pelgalt lappimisest ei piisa, et olemasolevaid kliente ohutuks pidada.
Esiteks saab ja võidakse kasutada jätkurünnakutes kõiki juba varastatud andmeid. Microsoft märgib, et "Lace Tempesti ohvreid on olnud kahte tüüpi. Esiteks on ohvrid ärakasutatud serveriga, kuhu langetati veebikest (ja millega luureks potentsiaalselt suheldi). Teine tüüp on ohvrid, kelle puhul Lace Tempest varastas. andmed." Eeldame, et nende järgmine samm on andmevargust kogenud ohvrite väljapressimine.
Hammond soovitab klientidel mitte ainult lappida, vaid ka "läbi need logid läbi, vaadata, mis artefakte seal on, kas saate eemaldada muud konksud ja küünised. Isegi kui te lapite, veenduge, et veebikestal oleks on eemaldatud ja kustutatud.
Failiedastusteenused kübertule all
Ükski MOVEiti puhastamine ei lahenda sügavamat, põhiprobleemi, mis viimasel ajal tundub olevat: on selge, et häkkerirühmad on tuvastanud failiedastusteenused kui finantsküberkuritegevuse kullakaevanduse.
Vaid paar kuud tagasi, küberkurjategijad kubisesid IBMi Aspera Faspexist. Kuu aega enne seda viis Cl0p läbi kampaania, mis oli üllatavalt sarnane eelmise nädala jõupingutustega. Fortra GoAnywhere teenuse vastu. See polnud isegi Cl0p esimene rünnak failiedastuse rikkumiste vastu – aastat tagasi tegid nad sama ka Accelioniga.
Ettevõtted, kes edastavad nende teenustega tundlikke andmeid, peavad leidma endeemiliseks probleemiks osutunud probleemile pikaajalise lahenduse. Siiski on ebaselge, milline see pikaajaline lahendus täpselt on.
Hammond soovitab "püüdke oma rünnakupinda piirata. Mida iganes saame teha, et vähendada tarkvara, mida me ei vaja, või rakendusi, mida saaks paremini ja kaasaegsemalt hallata. Need on minu arvates ehk parimad sõnad muud nõuannet kui: plaaster."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Ostke ja müüge IPO-eelsete ettevõtete aktsiaid koos PREIPO®-ga. Juurdepääs siia.
- Allikas: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 2023
- 24
- 27
- 3.
- a
- tegevus
- nõuanne
- filiaal
- vastu
- hingamisteed
- juba
- Ka
- summa
- an
- ja
- ennetada
- mistahes
- rakendused
- OLEME
- ümber
- AS
- At
- rünnak
- Reageerib
- tagasi
- BBC
- BE
- olnud
- enne
- alanud
- BEST
- Parem
- Väljapressimine
- Saapad
- rikkumine
- rikkumisi
- Briti
- British Airways
- kuid
- by
- Kutsub
- Kampaania
- Kampaaniad
- CAN
- põhjustatud
- Kodanikud
- selge
- kliendid
- CO
- Tulema
- tulevad
- ettevõte
- mures
- Murettekitav
- järeldus
- Läbi viima
- kaaluda
- võiks
- Kliendid
- cyber
- küberrünnakud
- Küberkuritegevus
- tume
- Tume lugemine
- andmed
- sügavam
- lõplik
- nõudmisi
- DID
- hoolsus
- do
- domineeriv
- don
- langes
- kaks
- Varajane
- jõupingutusi
- kumbki
- smirgel
- piisavalt
- Eeter (ETH)
- Isegi
- tõend
- täpselt
- täidetud
- olemasolevate
- kogenud
- Exploited
- väljapressimine
- Langema
- vähe
- fail
- finants-
- leidma
- Firma
- esimene
- Järel
- eest
- Foray
- Sundida
- Alates
- Kamp
- Go
- läheb
- Valitsus
- Grupp
- Grupi omad
- häkker
- häkkerid
- olnud
- juhtuda
- Olema
- he
- siin
- kõrge profiiliga
- Konksud
- Lahtiolekuajad
- Kuidas
- HTTPS
- i
- IBM
- tuvastatud
- if
- in
- Kaasa arvatud
- Intelligentsus
- sisse
- Välja antud
- IT
- ITS
- John
- jpg
- juuni
- Teadma
- teatud
- maastik
- viimane
- hiljemalt
- valgus
- LIMIT
- seotud
- lingid
- asub
- Logi sisse
- peamine
- tegema
- TEEB
- Märts
- küsimus
- mai..
- ainult
- Microsoft
- miinimum
- peegel
- Kaasaegne
- hetk
- kuu
- kuu
- rohkem
- liikuma
- palju
- nimed
- Vajadus
- järgmine
- nst
- märkimisväärne
- romaan
- number
- of
- pakutud
- on
- ONE
- ainult
- Operations
- or
- organisatsioonid
- Muu
- välja
- üle
- lehekülg
- minevik
- Plaaster
- Lappimine
- Palgaarvestus
- valima
- tükki
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võrra
- potentsiaal
- potentsiaalselt
- Eelnev
- Probleem
- Programm
- Edu
- avaldatud
- tõstab
- ransomware
- RE
- Lugenud
- Lugemine
- soovitab
- vähendama
- kõrvaldama
- Eemaldatud
- uurija
- Teadlased
- Reageerida
- vastutav
- Rull
- jooksmine
- s
- ohutu
- sama
- laupäev
- skaneerimine
- Teine
- turvalisus
- vaata
- tundub
- nähtud
- vanem
- tundlik
- Teenused
- Shell
- peaks
- märkimisväärne
- sarnane
- lihtsalt
- alates
- site
- Istung
- tarkvara
- lahendus
- mõned
- alustatud
- olek
- varastatud
- nöör
- soovitama
- Pind
- ütleb
- kui
- et
- .
- vargus
- oma
- Seal.
- Need
- nad
- asi
- mõtlema
- see
- need
- kuigi?
- oht
- ohtude luure
- ähvardused
- Läbi
- aeg
- et
- liiklus
- üle
- ravimisel
- püüdma
- Pööramine
- piiksuma
- kaks
- tüüp
- Uk
- all
- aluseks
- Kasutatud
- eri
- Ve
- väga
- ohvreid
- Haavatavused
- haavatavus
- ootamine
- oli
- ei olnud
- Tee..
- we
- web
- nädal
- hästi tuntud
- olid
- M
- mis iganes
- millal
- mis
- kuigi
- WHO
- will
- koos
- sõnad
- aastat
- veel
- sa
- Sinu
- sephyrnet