Zoals de namen van de eerste bekende slachtoffers van de MOVEit zero-day-exploitatie begon op 4 juni binnen te rollen, waaraan Microsoft de campagne koppelde de Cl0p-ransomware-outfit, dat het ‘Lace Tempest’ noemt. Dat maakt dit slechts de laatste in een reeks zeer vergelijkbare cyberaanvallen tegen verschillende diensten voor bestandsoverdracht door de bende.
Sinds 1 juni, toen Progress Software kondigde een zero-day-kwetsbaarheid aan in hun MOVEit-bestandsoverdrachtsprogramma hebben onderzoekers en mogelijk getroffen organisaties geprobeerd de stukken op te rapen. Analyse van Mandiant suggereerde dat hackers al op zaterdag 27 mei begonnen waren met het exploiteren van de zero-day, terwijl het inlichtingenbureau Greynoise gemeld observeren “scanactiviteit voor de inlogpagina van MOVEit Transfer op /human.aspx al op 3 maart 2023.”
Pas in de afgelopen 24 uur zijn enkele opmerkelijke slachtoffers van deze campagne aan het licht gekomen. De regering van Nova Scotia wel momenteel proberen te meten hoeveel van de gegevens van zijn burgers zijn gestolen, en een inbreuk bij Zellis, een Brits loonbedrijf, heeft downstream-compromissen veroorzaakt voor een aantal van zijn spraakmakende klanten, waaronder Boots, de BBC en British Airways.
Wat toeschrijving betreft, behandelde Mandiant de daders vanaf 2 juni als een potentieel nieuwe groep, met mogelijke banden met de cybercriminaliteitsbende FIN11, bekend om zijn ransomware- en afpersingscampagnes en status als Clop-partner. A tweet zondagavond gepubliceerd door Microsoft bood een meer definitieve conclusie:
“Microsoft schrijft aanvallen toe die misbruik maken van de CVE-2023-34362 MOVEit Transfer 0-day kwetsbaarheid voor Lace Tempest, bekend om ransomware-operaties en het runnen van de Clop-afpersingssite. De bedreigingsacteur heeft in het verleden soortgelijke kwetsbaarheden gebruikt om gegevens te stelen en slachtoffers af te persen”, aldus de tweet.
“Deze bedreigingsacteur is er één die we al jaren volgen”, vertelt Microsoft aan Dark Reading. Ze zijn “een bekende groep die door de jaren heen verantwoordelijk is voor een aanzienlijk aantal bedreigingen. Lace Tempest (overlapt met FIN11, TA505) is een dominante kracht in het ransomware- en opkomende afpersingslandschap.”
Hoe getroffen organisaties moeten reageren op CVE-2023-34362
Voor John Hammond, een senior veiligheidsonderzoeker voor Huntress die dat is geweest het volgen van de kwetsbaarheid van de afgelopen week, roept de toeschrijving van Microsoft grote zorgen op bij de slachtoffers. “Ik weet niet wat er daarna gaat gebeuren. We hebben nog geen ransomware-eisen, afpersing of chantage gezien. Ik weet niet of we op de loer liggen, of wat er daarna gaat gebeuren”, vraagt hij zich af.
Op 2 juni werd Progress Software uitgebracht een patch voor CVE-2023-34362. Maar omdat er aanwijzingen zijn dat de aanvallers er al op 27 mei, zo niet op 3 maart, misbruik van maakten, is simpelweg patchen niet voldoende om bestaande klanten als veilig te beschouwen.
Om te beginnen kunnen en mogen reeds gestolen gegevens worden gebruikt bij vervolgaanvallen. Zoals Microsoft opmerkt: “Er zijn twee soorten slachtoffers geweest van Lace Tempest. De eerste zijn de slachtoffers met een uitgebuite server waarop een webshell is neergezet (en waar mogelijk interactie mee is geweest om verkenningen uit te voeren). Het tweede type zijn slachtoffers waarbij Lace Tempest gegevens heeft gestolen.” We verwachten dat hun volgende stap het afpersen zal zijn van slachtoffers die gegevensdiefstal hebben meegemaakt.”
Als absoluut minimum adviseert Hammond dat klanten niet alleen patchen, maar ook “de logbestanden doornemen, kijken welke artefacten er zijn, en kijken of je nog andere haken en klauwen kunt verwijderen. Zelfs als u een patch uitvoert, zorg er dan voor dat de webshell is verwijderd en verwijderd. Het is hier een kwestie van due diligence.”
Diensten voor bestandsoverdracht onder cybervuur
Geen enkele hoeveelheid MOVEit-opruiming zal een dieper, onderliggend probleem oplossen dat de laatste tijd lijkt te bestaan: het is duidelijk dat hackergroepen diensten voor bestandsoverdracht hebben geïdentificeerd als een goudmijn voor financiële cybercriminaliteit.
Nog maar een paar maanden geleden, cybercriminelen zwermden IBM's Aspera Faspex uit. Een maand daarvoor voerde Cl0p een campagne uit die opvallende gelijkenis vertoonde met de campagne van vorige week, destijds tegen de GoAnywhere-service van Fortra. Het was niet eens Cl0p's eerste poging tot inbreuken op bestandsoverdrachten - jaar eerder deden ze hetzelfde met Accelion.
Bedrijven die gevoelige gegevens via deze diensten distribueren, zullen een oplossing voor de langere termijn moeten vinden voor wat een endemisch probleem blijkt te zijn. Wat die oplossing op langere termijn precies zal zijn, is echter onduidelijk.
Hammond raadt aan om “je aanvalsoppervlak te beperken. Wat we ook kunnen doen om de hoeveelheid software die we niet nodig hebben, of applicaties die op een betere, modernere manier kunnen worden afgehandeld, terug te dringen. Dat zijn, denk ik, misschien wel de beste adviezen op dit moment, anders dan: patch.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
- Bron: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : heeft
- :is
- :niet
- :waar
- $UP
- 1
- 2023
- 24
- 27
- 3
- a
- activiteit
- advies
- Affiliate
- tegen
- luchtwegen
- al
- ook
- bedragen
- an
- en
- anticiperen
- elke
- toepassingen
- ZIJN
- rond
- AS
- At
- aanvallen
- Aanvallen
- terug
- bbc
- BE
- geweest
- vaardigheden
- begonnen
- BEST
- Betere
- Chantage
- Laarzen
- overtreding
- inbreuken
- Brits
- Britse luchtwegen
- maar
- by
- oproepen
- Campagne
- Campagnes
- CAN
- veroorzaakt
- burgers
- duidelijk
- klanten
- CO
- hoe
- komst
- afstand
- betrokken
- Zorgen
- conclusie
- Gedrag
- beschouwd
- kon
- Klanten
- cyber
- cyberaanvallen
- cybercrime
- Donker
- Donkere lezing
- gegevens
- diepere
- definitief
- eisen
- DEED
- ijver
- do
- dominant
- don
- liet vallen
- twee
- Vroeg
- inspanning
- beide
- opkomende
- genoeg
- Ether (ETH)
- Zelfs
- bewijzen
- precies
- uitgevoerd
- bestaand
- ervaren
- Exploited
- afpersing
- Vallen
- weinig
- Dien in
- financieel
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Stevig
- Voornaam*
- volgend
- Voor
- inval
- Dwingen
- oppompen van
- Bende
- Go
- gaan
- Overheid
- Groep
- Groep
- hacker
- Hackers
- HAD
- gebeuren
- Hebben
- he
- hier
- spraakmakend
- haken
- HOURS
- Hoe
- HTTPS
- i
- IBM
- geïdentificeerd
- if
- in
- Inclusief
- Intelligentie
- in
- Uitgegeven
- IT
- HAAR
- John
- jpg
- juni
- blijven
- bekend
- Landschap
- Achternaam*
- laatste
- licht
- LIMIT
- gekoppeld
- links
- gelegen
- Log in
- groot
- maken
- MERKEN
- Maart
- Materie
- Mei..
- alleen
- Microsoft
- minimum
- spiegel
- Modern
- moment
- Maand
- maanden
- meer
- beweging
- veel
- namen
- Noodzaak
- volgende
- NIST
- opvallend
- roman
- aantal
- of
- aangeboden
- on
- EEN
- Slechts
- Operations
- or
- organisaties
- Overige
- uit
- over
- pagina
- verleden
- Patch
- patchen
- Loonlijst
- kiezen
- stukken
- Plato
- Plato gegevensintelligentie
- PlatoData
- punten
- potentieel
- mogelijk
- Voorafgaand
- probleem
- Programma
- Voortgang
- gepubliceerde
- verhoogt
- ransomware
- RE
- Lees
- lezing
- beveelt
- verminderen
- verwijderen
- verwijderd
- onderzoeker
- onderzoekers
- Reageren
- verantwoordelijk
- Rollen
- lopend
- s
- veilig
- dezelfde
- zaterdag
- het scannen
- Tweede
- veiligheid
- zien
- lijkt
- gezien
- senior
- gevoelig
- Diensten
- Shell
- moet
- aanzienlijke
- gelijk
- eenvoudigweg
- sinds
- website
- Zittend
- Software
- oplossing
- sommige
- gestart
- Status
- gestolen
- Draad
- stel
- Oppervlak
- vertelt
- neem contact
- dat
- De
- diefstal
- hun
- Er.
- Deze
- ze
- ding
- denken
- dit
- die
- toch?
- bedreiging
- bedreigingsintelligentie
- bedreigingen
- Door
- niet de tijd of
- naar
- verkeer
- overdracht
- behandelen
- proberen
- Draai
- tweet
- twee
- type dan:
- Uk
- voor
- die ten grondslag liggen
- gebruikt
- divers
- Ve
- zeer
- slachtoffers
- kwetsbaarheden
- kwetsbaarheid
- Het wachten
- was
- was
- Manier..
- we
- web
- week
- bekend
- waren
- Wat
- wat
- wanneer
- welke
- en
- WIE
- wil
- Met
- woorden
- jaar
- nog
- u
- Your
- zephyrnet