Kuten ensimmäisten tunnettujen uhrien nimet MOVEit nollapäivän hyväksikäyttö Microsoft linkitti kampanjan 4. kesäkuuta Cl0p ransomware -asu, jota se kutsuu "Pitsimyrskyksi". Tämä tekee tästä vain viimeisimmän joukossa hyvin samankaltaisia kyberhyökkäyksiä jengin eri tiedostonsiirtopalveluita vastaan.
Aina 1. kesäkuuta, jolloin Progress Software ilmoitti nollapäivän haavoittuvuudesta MOVEit-tiedostonsiirto-ohjelmassaan tutkijat ja mahdollisesti vaikuttaneet organisaatiot ovat yrittäneet poimia palasia. Analyysi Mandiantilta ehdotti, että hakkerit olivat alkaneet hyödyntää nollapäivää jo edellisenä lauantaina 27. toukokuuta, kun uhkatiedusteluyritys Greynoise raportoi tarkkailevansa "Skannaustoiminta MOVEit Transferin kirjautumissivulle osoitteessa /human.aspx jo 3. maaliskuuta 2023."
Vasta viimeisen 24 tunnin aikana on alkanut paljastua joitakin tämän kampanjan merkittäviä uhreja. Nova Scotian hallitus on tällä hetkellä yritetään mitata kuinka paljon sen kansalaisten tiedoista on varastettu, ja murto brittiläisessä palkkatoimistossa Zellisissä on aiheuttanut myöhempiä kompromisseja joillekin sen korkean profiilin asiakkaille, mukaan lukien Boots, BBCja British Airways.
Mitä tulee tekijäksi, Mandiant oli kesäkuun 2. päivästä lähtien kohdellut tekijöitä mahdollisesti uutena ryhmänä, jolla oli mahdollisia linkkejä FIN11 kyberrikollisjengi, joka tunnetaan kiristys- ja kiristyskampanjoistaan ja Clopin tytäryhtiön asemasta. A twiitti julkaistiin sunnuntai-iltana Microsoft tarjosi lopullisen johtopäätöksen:
"Microsoft syyttää hyökkäyksiä, jotka käyttävät hyväkseen CVE-2023-34362 MOVEit Siirrä 0 päivän haavoittuvuus Lace Tempestiin, joka tunnetaan kiristyshaittaohjelmista ja Clopin kiristyssivustosta. Uhkatoimija on käyttänyt samanlaisia haavoittuvuuksia aiemmin varastaakseen tietoja ja kiristääkseen uhreja, twiitissä lukee.
"Olemme seuranneet tätä uhkatekijää vuosia", Microsoft kertoo Dark Readingille. He ovat "tunnetaan ryhmä, joka on vastuussa useista uhista vuosien varrella. Lace Tempest (päällekkäiset FIN11, TA505).
Miten järjestöjen, joita asia koskee, pitäisi reagoida kysymykseen CVE-2023-34362
John Hammondille, Huntressin vanhemmalle turvallisuustutkijalle, joka on ollut haavoittuvuuden seuranta viime viikolla, Microsoftin syynä on suuri huolenaihe uhreille. "En tiedä mitä tapahtuu seuraavaksi. Emme ole vielä nähneet lunnasohjelmavaatimuksia, kiristystä tai kiristystä. En tiedä, jäämmekö odottamaan vai mitä siitä seuraavaksi tulee”, hän ihmettelee.
Progress Software julkaistiin 2. kesäkuuta korjaustiedosto CVE-2023-34362:lle. Mutta koska todisteet viittaavat siihen, että hyökkääjät käyttivät sitä jo 27. toukokuuta, ellei 3. maaliskuuta, pelkkä korjaus ei riitä, jotta olemassa olevat asiakkaat katsottaisiin turvallisiksi.
Ensinnäkin mitä tahansa jo varastettua dataa voidaan ja voidaan käyttää jatkohyökkäyksissä. Kuten Microsoft huomauttaa, "Lace Tempestin uhreja on ollut kahdenlaisia. Ensinnäkin ovat uhreja, joilla on hyväksikäytetty palvelin, jolle Web-kuori pudotettiin (ja jonka kanssa on mahdollisesti oltu vuorovaikutuksessa tiedustelua varten). Toinen tyyppi ovat uhreja, joista Lace Tempest on varastanut tietoja." Odotamme, että heidän seuraava askeleensa on datavarkauksien kokeneiden uhrien kiristys."
Vähintäänkin Hammond neuvoo, että asiakkaat eivät vain paikkaa, vaan myös "käyvät ne lokit läpi, katsovat mitä esineitä siellä on, voitko poistaa muita koukkuja ja kynsiä. Vaikka korjaisitkin, varmista, että Web-kuori on poistettu ja poistettu. Tässä on kyse due diligencesta."
Tiedostonsiirtopalvelut Cyber Firen alla
Mikään MOVEit-siivous ei korjaa syvempää, taustalla olevaa ongelmaa, joka näyttää olevan ympärillä viime aikoina: On selvää, että hakkeriryhmät ovat tunnistaneet tiedostojen siirtopalvelut talousrikollisuuden kultakaivokseksi.
Vain muutama kuukausi sitten, kyberrikolliset tunkeutuivat IBM:n Aspera Faspexiin. Kuukautta ennen sitä Cl0p toteutti kampanjan, joka oli hämmästyttävän samankaltainen kuin viime viikolla, tuolloin Fortran GoAnywhere-palvelua vastaan. Se ei ollut edes Cl0p:n ensimmäinen hyökkäys tiedostonsiirtorikkomuksiin - vuotta aiemmin he tekivät saman Accelionille.
Yritysten, jotka välittävät arkaluonteisia tietoja näillä palveluilla, on löydettävä pidemmän aikavälin ratkaisu ongelmaan, joka on osoittautumassa endeemiseksi. Se, mikä tuo pidemmän aikavälin ratkaisu on tarkalleen, on kuitenkin epäselvää.
Hammond suosittelee, että "yrität rajoittaa hyökkäyspintaasi. Mitä tahansa voimme tehdä vähentääksemme ohjelmistoja, joita emme tarvitse, tai sovelluksia, joita voitaisiin käsitellä paremmin, nykyaikaisemmin. Nämä ovat mielestäni tämän hetken parhaat neuvon sanat kuin: patch.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Osta ja myy osakkeita PRE-IPO-yhtiöissä PREIPO®:lla. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 1
- 2023
- 24
- 27
- 3.
- a
- toiminta
- neuvot
- Suosittelijaksi
- vastaan
- hengitysteihin
- jo
- Myös
- määrä
- an
- ja
- ennakoida
- Kaikki
- sovellukset
- OVAT
- noin
- AS
- At
- hyökkäys
- Hyökkäykset
- takaisin
- bbc
- BE
- ollut
- ennen
- alkaneet
- PARAS
- Paremmin
- Kiristää
- kengät
- rikkominen
- rikkomisesta
- Brittiläinen
- brittiläiset hengitystiet
- mutta
- by
- Puhelut
- Kampanja
- Kampanjat
- CAN
- aiheutti
- Kansalaiset
- selkeä
- asiakkaat
- CO
- Tulla
- tuleva
- yritys
- huolestunut
- huolenaiheet
- johtopäätös
- Suorittaa
- harkittu
- voisi
- Asiakkaat
- cyber
- cyberattacks
- tietoverkkorikollisuuden
- tumma
- Pimeää luettavaa
- tiedot
- syvempää
- lopullinen
- vaatii
- DID
- ahkeruus
- do
- hallitseva
- Don
- putosi
- kaksi
- Varhainen
- vaivaa
- myöskään
- syntymässä
- tarpeeksi
- Eetteri (ETH)
- Jopa
- näyttö
- täsmälleen
- teloitettiin
- olemassa
- kokenut
- hyödynnetään
- kiristys
- Pudota
- harvat
- filee
- taloudellinen
- Löytää
- Yritys
- Etunimi
- jälkeen
- varten
- Kokeilu
- voima
- alkaen
- Jengi
- Go
- menee
- Hallitus
- Ryhmä
- Ryhmän
- hakkeri
- hakkerit
- HAD
- tapahtua
- Olla
- he
- tätä
- korkean profiilin
- Koukut
- TUNTIA
- Miten
- HTTPS
- i
- IBM
- tunnistettu
- if
- in
- Mukaan lukien
- Älykkyys
- tulee
- Annettu
- IT
- SEN
- Johannes
- jpg
- kesäkuu
- Tietää
- tunnettu
- Landschaft
- Sukunimi
- uusin
- valo
- RAJOITA
- liittyvät
- linkit
- sijaitsevat
- Kirjaudu sisään
- merkittävä
- tehdä
- TEE
- maaliskuu
- asia
- Saattaa..
- vain
- Microsoft
- minimi
- peili
- Moderni
- hetki
- Kuukausi
- kk
- lisää
- liikkua
- paljon
- nimet
- Tarve
- seuraava
- NIST
- merkittävä
- romaani
- numero
- of
- tarjotaan
- on
- ONE
- vain
- Operations
- or
- organisaatioiden
- Muut
- ulos
- yli
- sivulla
- Ohi
- läikkä
- kauneuspilkku
- Payroll
- poimia
- kappaletta
- Platon
- Platonin tietotieto
- PlatonData
- pistettä
- mahdollinen
- mahdollisesti
- Aikaisempi
- Ongelma
- Ohjelma
- Edistyminen
- julkaistu
- herättää
- ransomware
- RE
- Lue
- Lukeminen
- suosittelee
- vähentää
- poistaa
- poistettu
- tutkija
- Tutkijat
- Vastata
- vastuullinen
- rulla
- juoksu
- s
- turvallista
- sama
- lauantai
- skannaus
- Toinen
- turvallisuus
- nähdä
- näyttää
- nähneet
- vanhempi
- sensible
- Palvelut
- Kuori
- shouldnt
- merkittävä
- samankaltainen
- yksinkertaisesti
- koska
- paikka
- Istuminen
- Tuotteemme
- ratkaisu
- jonkin verran
- alkoi
- Tila
- varastettu
- jono
- ehdottaa
- pinta
- kertoo
- kuin
- että
- -
- varkaus
- heidän
- Siellä.
- Nämä
- ne
- asia
- ajatella
- tätä
- ne
- vaikka?
- uhkaus
- uhkien tiedustelu
- uhat
- Kautta
- aika
- että
- liikenne
- siirtää
- käsittelemällä
- yrittää
- Kääntyminen
- piipittää
- kaksi
- tyyppi
- Uk
- varten
- taustalla oleva
- käytetty
- eri
- Ve
- hyvin
- uhrit
- haavoittuvuuksia
- alttius
- odotus
- oli
- ei ollut
- Tapa..
- we
- verkko
- viikko
- tunnettu
- olivat
- Mitä
- mikä tahansa
- kun
- joka
- vaikka
- KUKA
- tulee
- with
- sanoja
- vuotta
- vielä
- te
- Sinun
- zephyrnet