Kuten ensimmäisten tunnettujen uhrien nimet MOVEit nollapäivän hyväksikäyttö Microsoft linkitti kampanjan 4. kesäkuuta Cl0p ransomware -asu, which it calls "Lace Tempest." That makes this merely the latest in a string of very similar cyberattacks against various file-transfer services by the gang.
Aina 1. kesäkuuta, jolloin Progress Software ilmoitti nollapäivän haavoittuvuudesta MOVEit-tiedostonsiirto-ohjelmassaan tutkijat ja mahdollisesti vaikuttaneet organisaatiot ovat yrittäneet poimia palasia. Analyysi Mandiantilta ehdotti, että hakkerit olivat alkaneet hyödyntää nollapäivää jo edellisenä lauantaina 27. toukokuuta, kun uhkatiedusteluyritys Greynoise raportoi tarkkailevansa "scanning activity for the login page of MOVEit Transfer located at /human.aspx as early as March 3rd, 2023."
Vasta viimeisen 24 tunnin aikana on alkanut paljastua joitakin tämän kampanjan merkittäviä uhreja. Nova Scotian hallitus on tällä hetkellä yritetään mitata how much of its citizens' data has been stolen, and a breach at Zellis, a UK payroll company, has caused downstream compromises for some of its high-profile clients, including Boots, BBCja British Airways.
Mitä tulee tekijäksi, Mandiant oli kesäkuun 2. päivästä lähtien kohdellut tekijöitä mahdollisesti uutena ryhmänä, jolla oli mahdollisia linkkejä FIN11 kyberrikollisjengi, joka tunnetaan kiristys- ja kiristyskampanjoistaan ja Clopin tytäryhtiön asemasta. A twiitti julkaistiin sunnuntai-iltana Microsoft tarjosi lopullisen johtopäätöksen:
"Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims," the tweet read.
"This threat actor is one that we've been following for years," Microsoft tells Dark Reading. They're "a well-known group responsible for a significant number of threats over the years. Lace Tempest (overlaps w/ FIN11, TA505) is a dominant force in the ransomware and emerging extortion landscape."
Miten järjestöjen, joita asia koskee, pitäisi reagoida kysymykseen CVE-2023-34362
For John Hammond, a senior security researcher for Huntress who's been haavoittuvuuden seuranta viime viikolla, Microsoft's attribution raises major concerns for victims. "I don't know what will happen next. We haven't seen any ransomware demands or extortion or blackmail yet. I don't know if we're sitting in waiting, or what will come of it next," he wonders.
Progress Software julkaistiin 2. kesäkuuta korjaustiedosto CVE-2023-34362:lle. Mutta koska todisteet viittaavat siihen, että hyökkääjät käyttivät sitä jo 27. toukokuuta, ellei 3. maaliskuuta, pelkkä korjaus ei riitä, jotta olemassa olevat asiakkaat katsottaisiin turvallisiksi.
For one thing, any data already stolen can and may be used in follow-on attacks. As Microsoft points out, "there have been two kinds of victims of Lace Tempest. First are victims with an exploited server where a Web shell was dropped (and potentially interacted with to conduct reconnaissance). The second type are victims where Lace Tempest has stolen data." We anticipate their next move will be extortion of victims who have experienced data theft."
As a bare minimum, Hammond advises that customers not only patch, but also "go through those logs, see what artifacts are there, see if you can remove any other hooks and claws. Even if you patch, go make sure that Web shell has been removed and deleted. It's a matter of due diligence here."
Tiedostonsiirtopalvelut Cyber Firen alla
No amount of MOVEit cleanup will remedy a deeper, underlying problem that seems to be going around lately: It's clear that hacker groups have identified file transfer services as a goldmine for financial cybercrime.
Vain muutama kuukausi sitten, cybercriminals swarmed IBM's Aspera Faspex. A month before that, Cl0p executed a campaign with striking similarity to last week's effort, that time against Fortra's GoAnywhere service. It wasn't even Cl0p's first foray into file transfer breaches — vuotta aiemmin he tekivät saman Accelionille.
Companies that traffic sensitive data with these services will need to find a longer-term solution to what's turning out to be an endemic problem. Exactly what that longer-term solution will be, though, is unclear.
Hammond recommends to "try to limit your attack surface. Whatever we can do to reduce software that we either don't need, or applications that could be handled in a better, more modern way. Those, I think, are maybe the best words of advice at the moment other than: patch."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 1
- 2023
- 24
- 27
- 3.
- a
- toiminta
- neuvot
- Suosittelijaksi
- vastaan
- hengitysteihin
- jo
- Myös
- määrä
- an
- ja
- ennakoida
- Kaikki
- sovellukset
- OVAT
- noin
- AS
- At
- hyökkäys
- Hyökkäykset
- takaisin
- bbc
- BE
- ollut
- ennen
- alkaneet
- PARAS
- Paremmin
- Kiristää
- kengät
- rikkominen
- rikkomisesta
- Brittiläinen
- brittiläiset hengitystiet
- mutta
- by
- Puhelut
- Kampanja
- Kampanjat
- CAN
- aiheutti
- Kansalaiset
- selkeä
- asiakkaat
- CO
- Tulla
- tuleva
- yritys
- huolestunut
- huolenaiheet
- johtopäätös
- Suorittaa
- harkittu
- voisi
- Asiakkaat
- cyber
- cyberattacks
- tietoverkkorikollisuuden
- tumma
- Pimeää luettavaa
- tiedot
- syvempää
- lopullinen
- vaatii
- DID
- ahkeruus
- do
- hallitseva
- Don
- putosi
- kaksi
- Varhainen
- vaivaa
- myöskään
- syntymässä
- tarpeeksi
- Eetteri (ETH)
- Jopa
- näyttö
- täsmälleen
- teloitettiin
- olemassa
- kokenut
- hyödynnetään
- kiristys
- Pudota
- harvat
- filee
- taloudellinen
- Löytää
- Yritys
- Etunimi
- jälkeen
- varten
- Kokeilu
- voima
- alkaen
- Jengi
- Go
- menee
- Hallitus
- Ryhmä
- Ryhmän
- hakkeri
- hakkerit
- HAD
- tapahtua
- Olla
- he
- tätä
- korkean profiilin
- Koukut
- TUNTIA
- Miten
- HTTPS
- i
- IBM
- tunnistettu
- if
- in
- Mukaan lukien
- Älykkyys
- tulee
- Annettu
- IT
- SEN
- Johannes
- jpg
- kesäkuu
- Tietää
- tunnettu
- Landschaft
- Sukunimi
- uusin
- valo
- RAJOITA
- liittyvät
- linkit
- sijaitsevat
- Kirjaudu sisään
- merkittävä
- tehdä
- TEE
- maaliskuu
- asia
- Saattaa..
- vain
- Microsoft
- minimi
- peili
- Moderni
- hetki
- Kuukausi
- kk
- lisää
- liikkua
- paljon
- nimet
- Tarve
- seuraava
- NIST
- merkittävä
- romaani
- numero
- of
- tarjotaan
- on
- ONE
- vain
- Operations
- or
- organisaatioiden
- Muut
- ulos
- yli
- sivulla
- Ohi
- läikkä
- kauneuspilkku
- Payroll
- poimia
- kappaletta
- Platon
- Platonin tietotieto
- PlatonData
- pistettä
- mahdollinen
- mahdollisesti
- Aikaisempi
- Ongelma
- Ohjelma
- Edistyminen
- julkaistu
- herättää
- ransomware
- RE
- Lue
- Lukeminen
- suosittelee
- vähentää
- poistaa
- poistettu
- tutkija
- Tutkijat
- Vastata
- vastuullinen
- rulla
- juoksu
- s
- turvallista
- sama
- lauantai
- skannaus
- Toinen
- turvallisuus
- nähdä
- näyttää
- nähneet
- vanhempi
- sensible
- Palvelut
- Kuori
- shouldnt
- merkittävä
- samankaltainen
- yksinkertaisesti
- koska
- paikka
- Istuminen
- Tuotteemme
- ratkaisu
- jonkin verran
- alkoi
- Tila
- varastettu
- jono
- ehdottaa
- pinta
- kertoo
- kuin
- että
- -
- varkaus
- heidän
- Siellä.
- Nämä
- ne
- asia
- ajatella
- tätä
- ne
- vaikka?
- uhkaus
- uhkien tiedustelu
- uhat
- Kautta
- aika
- että
- liikenne
- siirtää
- käsittelemällä
- yrittää
- Kääntyminen
- piipittää
- kaksi
- tyyppi
- Uk
- varten
- taustalla oleva
- käytetty
- eri
- Ve
- hyvin
- uhrit
- haavoittuvuuksia
- alttius
- odotus
- oli
- ei ollut
- Tapa..
- we
- verkko
- viikko
- tunnettu
- olivat
- Mitä
- mikä tahansa
- kun
- joka
- vaikka
- KUKA
- tulee
- with
- sanoja
- vuotta
- vielä
- te
- Sinun
- zephyrnet