Come i nomi delle prime vittime conosciute di lo sfruttamento zero-day di MOVEit ha iniziato ad arrivare il 4 giugno, Microsoft ha collegato la campagna a il vestito ransomware Cl0p, which it calls "Lace Tempest." That makes this merely the latest in a string of very similar cyberattacks against various file-transfer services by the gang.
Sin dal 1 giugno, quando Progress Software ha annunciato una vulnerabilità zero-day nel suo programma di trasferimento file MOVEit, i ricercatori e le organizzazioni potenzialmente interessate hanno cercato di rimettere insieme i pezzi. Analisi di Mandiant ha suggerito che gli hacker avevano iniziato a sfruttare lo zero-day già sabato 27 maggio precedente, mentre la società di intelligence sulle minacce Greynoise riferito di osservare "scanning activity for the login page of MOVEit Transfer located at /human.aspx as early as March 3rd, 2023."
Solo nelle ultime 24 ore alcune vittime importanti di questa campagna hanno cominciato a venire alla luce. Il governo della Nuova Scozia lo è attualmente sto cercando di valutare how much of its citizens' data has been stolen, and a breach at Zellis, a UK payroll company, has caused downstream compromises for some of its high-profile clients, including Boots, la BBCe British Airways.
Per quanto riguarda l’attribuzione, dal 2 giugno Mandiant trattava gli autori del reato come un gruppo potenzialmente nuovo, con potenziali collegamenti con la banda di criminali informatici FIN11, noto per le sue campagne di ransomware e di estorsione e per lo status di affiliato di Clop. UN tweet pubblicato domenica sera da Microsoft ha offerto una conclusione più definitiva:
"Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims," the tweet read.
"This threat actor is one that we've been following for years," Microsoft tells Dark Reading. They're "a well-known group responsible for a significant number of threats over the years. Lace Tempest (overlaps w/ FIN11, TA505) is a dominant force in the ransomware and emerging extortion landscape."
Come le organizzazioni interessate dovrebbero rispondere a CVE-2023-34362
For John Hammond, a senior security researcher for Huntress who's been monitorare la vulnerabilità la scorsa settimana, Microsoft's attribution raises major concerns for victims. "I don't know what will happen next. We haven't seen any ransomware demands or extortion or blackmail yet. I don't know if we're sitting in waiting, or what will come of it next," he wonders.
Il 2 giugno è stato rilasciato Progress Software una patch per CVE-2023-34362. Ma con prove che suggeriscono che gli aggressori lo stavano già sfruttando già il 27 maggio, se non il 3 marzo, la semplice applicazione delle patch non è sufficiente affinché i clienti esistenti siano considerati sicuri.
For one thing, any data already stolen can and may be used in follow-on attacks. As Microsoft points out, "there have been two kinds of victims of Lace Tempest. First are victims with an exploited server where a Web shell was dropped (and potentially interacted with to conduct reconnaissance). The second type are victims where Lace Tempest has stolen data." We anticipate their next move will be extortion of victims who have experienced data theft."
As a bare minimum, Hammond advises that customers not only patch, but also "go through those logs, see what artifacts are there, see if you can remove any other hooks and claws. Even if you patch, go make sure that Web shell has been removed and deleted. It's a matter of due diligence here."
Servizi di trasferimento file sotto il fuoco informatico
No amount of MOVEit cleanup will remedy a deeper, underlying problem that seems to be going around lately: It's clear that hacker groups have identified file transfer services as a goldmine for financial cybercrime.
Solo pochi mesi fa, cybercriminals swarmed IBM's Aspera Faspex. A month before that, Cl0p executed a campaign with striking similarity to last week's effort, that time against Fortra's GoAnywhere service. It wasn't even Cl0p's first foray into file transfer breaches — anni prima, avevano fatto lo stesso con Accelion.
Companies that traffic sensitive data with these services will need to find a longer-term solution to what's turning out to be an endemic problem. Exactly what that longer-term solution will be, though, is unclear.
Hammond recommends to "try to limit your attack surface. Whatever we can do to reduce software that we either don't need, or applications that could be handled in a better, more modern way. Those, I think, are maybe the best words of advice at the moment other than: patch."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :ha
- :È
- :non
- :Dove
- $ SU
- 1
- 2023
- 24
- 27
- 3rd
- a
- attività
- consigli
- Affiliazione
- contro
- airways
- già
- anche
- quantità
- an
- ed
- anticipare
- in qualsiasi
- applicazioni
- SONO
- in giro
- AS
- At
- attacco
- attacchi
- precedente
- bbc
- BE
- stato
- prima
- iniziato
- MIGLIORE
- Meglio
- Ricatto
- Stivaletti
- violazione
- violazioni
- britannico
- British Airways
- ma
- by
- Bandi
- Campagna
- Responsabile Campagne
- Materiale
- ha causato
- cittadini
- pulire campo
- clienti
- CO
- Venire
- arrivo
- azienda
- interessato
- preoccupazioni
- conclusione
- Segui il codice di Condotta
- considerato
- potuto
- Clienti
- Cyber
- attacchi informatici
- cybercrime
- Scuro
- Lettura oscura
- dati
- più profondo
- definitivo
- richieste
- DID
- diligenza
- do
- dominante
- don
- caduto
- dovuto
- Presto
- sforzo
- o
- emergenti del mondo
- abbastanza
- Etere (ETH)
- Anche
- prova
- di preciso
- eseguito
- esistente
- esperto
- Exploited
- estorsione
- Autunno
- pochi
- Compila il
- finanziario
- Trovare
- Impresa
- Nome
- i seguenti
- Nel
- Incursione
- forza
- da
- banda
- Go
- andando
- Enti Pubblici
- Gruppo
- Gruppo
- degli hacker
- hacker
- ha avuto
- accadere
- Avere
- he
- qui
- alto profilo
- ganci
- ORE
- Come
- HTTPS
- i
- IBM
- identificato
- if
- in
- Compreso
- Intelligence
- ai miglioramenti
- Rilasciato
- IT
- SUO
- John
- jpg
- giugno
- Sapere
- conosciuto
- paesaggio
- Cognome
- con i più recenti
- leggera
- LIMITE
- connesso
- Collegamento
- collocato
- accesso
- maggiore
- make
- FA
- Marzo
- Importanza
- Maggio..
- semplicemente
- Microsoft
- ordine
- specchio
- moderno
- momento
- Mese
- mese
- Scopri di più
- cambiano
- molti
- nomi
- Bisogno
- GENERAZIONE
- nista
- notevole
- romanzo
- numero
- of
- offerto
- on
- ONE
- esclusivamente
- Operazioni
- or
- organizzazioni
- Altro
- su
- ancora
- pagina
- passato
- Toppa
- patching
- Libro paga
- scegliere
- pezzi
- Platone
- Platone Data Intelligence
- PlatoneDati
- punti
- potenziale
- potenzialmente
- Precedente
- Problema
- Programma
- Progressi
- pubblicato
- solleva
- ransomware
- RE
- Leggi
- Lettura
- raccomanda
- ridurre
- rimuovere
- rimosso
- ricercatore
- ricercatori
- Rispondere
- responsabile
- Rotolo
- running
- s
- sicura
- stesso
- sabato
- scansione
- Secondo
- problemi di
- vedere
- sembra
- visto
- anziano
- delicata
- Servizi
- Conchiglia
- dovrebbero
- significativa
- simile
- semplicemente
- da
- site
- Seduta
- Software
- soluzione
- alcuni
- iniziato
- Stato dei servizi
- rubare
- Corda
- suggerire
- superficie
- dice
- di
- che
- I
- furto
- loro
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- think
- questo
- quelli
- anche se?
- minaccia
- intelligenza delle minacce
- minacce
- Attraverso
- tempo
- a
- traffico
- trasferimento
- trattare
- prova
- Svolta
- Tweet
- seconda
- Digitare
- Uk
- per
- sottostante
- utilizzato
- vario
- Ve
- molto
- vittime
- vulnerabilità
- vulnerabilità
- In attesa
- Prima
- non lo era
- Modo..
- we
- sito web
- settimana
- noto
- sono stati
- Che
- qualunque
- quando
- quale
- while
- OMS
- volere
- con
- parole
- anni
- ancora
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro