Som navnene på de første kjente ofrene for MOVEit null-dagers utnyttelse begynte å rulle inn 4. juni, koblet Microsoft kampanjen til Cl0p ransomware-antrekket, som den kaller «Lace Tempest». Det gjør dette bare til det siste i en rekke svært like cyberangrep mot forskjellige filoverføringstjenester fra gjengen.
Helt siden 1. juni, da Progress Software kunngjorde en null-dagers sårbarhet i MOVEit-filoverføringsprogrammet har forskere og potensielt berørte organisasjoner forsøkt å plukke opp brikkene. Analyse fra Mandiant antydet at hackere hadde begynt å utnytte nulldagen allerede forrige lørdag, 27. mai, mens trusseletterretningsfirmaet Greynoise rapportert observasjon "skanneaktivitet for påloggingssiden til MOVEit Transfer lokalisert på /human.aspx så tidlig som 3. mars 2023."
Bare i løpet av de siste 24 timene har noen bemerkelsesverdige ofre for denne kampanjen begynt å komme frem i lyset. Regjeringen i Nova Scotia er prøver nå å måle hvor mye av innbyggernes data har blitt stjålet, og et brudd hos Zellis, et britisk lønnsselskap, har forårsaket nedstrøms kompromisser for noen av sine høyprofilerte kunder, inkludert Boots, BBCog British Airways.
Når det gjelder attribusjon, hadde Mandiant fra 2. juni behandlet gjerningsmennene som en potensielt ny gruppe, med potensielle koblinger til FIN11 nettkrim-gjengen, kjent for sine løsepenge- og utpressingskampanjer og status som Clop-tilknyttet. EN tweet publisert søndag kveld av Microsoft ga en mer definitiv konklusjon:
"Microsoft tilskriver angrep som utnytter CVE-2023-34362 MOVEit Overfør 0-dagers sårbarhet til Lace Tempest, kjent for ransomware-operasjoner og drift av Clop-utpressingssiden. Trusselaktøren har brukt lignende sårbarheter i det siste for å stjele data og presse ut ofre, heter det i tweeten.
"Denne trusselaktøren er en som vi har fulgt i årevis," sier Microsoft til Dark Reading. De er «en velkjent gruppe som er ansvarlig for et betydelig antall trusler gjennom årene. Lace Tempest (overlapper med FIN11, TA505) er en dominerende kraft i løsepengevare- og fremvoksende utpressingslandskap.»
Hvordan berørte organisasjoner bør svare på CVE-2023-34362
For John Hammond, en senior sikkerhetsforsker for Huntress som har vært det sporer sårbarheten den siste uken, vekker Microsofts attribusjon store bekymringer for ofrene. «Jeg vet ikke hva som vil skje videre. Vi har ikke sett noen krav om løsepengevare eller utpressing eller utpressing ennå. Jeg vet ikke om vi sitter og venter, eller hva som kommer ut av det videre, undrer han.
2. juni ga Progress Software ut en oppdatering for CVE-2023-34362. Men med bevis som tyder på at angriperne allerede utnyttet det så tidlig som 27. mai, om ikke 3. mars, er bare lapping ikke nok for at eksisterende kunder skal anses som trygge.
For det første kan og kan alle data som allerede er stjålet brukes i oppfølgingsangrep. Som Microsoft påpeker, "har det vært to typer ofre for Lace Tempest. Først er ofre med en utnyttet server der et web-skall ble droppet (og potensielt interaksjon med for å gjennomføre rekognosering). Den andre typen er ofre der Lace Tempest har stjålet data.» Vi forventer at deres neste trekk vil være utpressing av ofre som har opplevd datatyveri.»
Som et minimum anbefaler Hammond at kunder ikke bare lapper, men også "går gjennom disse loggene, se hvilke gjenstander som er der, se om du kan fjerne andre kroker og klør. Selv om du lapper, må du kontrollere at web-skall er fjernet og slettet. Det er et spørsmål om due diligence her.»
Filoverføringstjenester under cyberbrann
Ingen mengde MOVEit-opprydding vil avhjelpe et dypere, underliggende problem som ser ut til å ha pågått i det siste: Det er tydelig at hackergrupper har identifisert filoverføringstjenester som en gullgruve for finansiell nettkriminalitet.
For bare noen måneder siden, nettkriminelle svermet IBMs Aspera Faspex. En måned før det gjennomførte Cl0p en kampanje med slående likhet med forrige ukes innsats, den gangen mot Fortras GoAnywhere-tjeneste. Det var ikke engang Cl0ps første forsøk på filoverføringsbrudd – år tidligere gjorde de det samme med Accelion.
Selskaper som trafikkerer sensitive data med disse tjenestene, må finne en langsiktig løsning på det som viser seg å være et endemisk problem. Nøyaktig hva den langsiktige løsningen vil være, er imidlertid uklart.
Hammond anbefaler å "prøve å begrense angrepsoverflaten. Uansett hva vi kan gjøre for å redusere programvare som vi enten ikke trenger, eller applikasjoner som kan håndteres på en bedre og mer moderne måte. De, tror jeg, er kanskje de beste rådene for øyeblikket bortsett fra: lapp.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- Kjøp og selg aksjer i PRE-IPO-selskaper med PREIPO®. Tilgang her.
- kilde: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : har
- :er
- :ikke
- :hvor
- $OPP
- 1
- 2023
- 24
- 27
- 3.
- a
- aktivitet
- råd
- Partnerskap
- mot
- airways
- allerede
- også
- beløp
- an
- og
- forutse
- noen
- søknader
- ER
- rundt
- AS
- At
- angripe
- Angrep
- tilbake
- bbc
- BE
- vært
- før du
- begynt
- BEST
- Bedre
- Utpressing
- Boots
- brudd
- brudd
- British
- British Airways
- men
- by
- Samtaler
- Kampanje
- Kampanjer
- CAN
- forårsaket
- Borgere
- fjerne
- klienter
- CO
- Kom
- kommer
- Selskapet
- bekymret
- bekymringer
- konklusjon
- Gjennomføre
- ansett
- kunne
- Kunder
- cyber
- cyberattacks
- cybercrime
- mørk
- Mørk lesning
- dato
- dypere
- definitive
- krav
- gJORDE
- aktsomhet
- do
- dominerende
- Don
- droppet
- to
- Tidlig
- innsats
- enten
- Emery
- nok
- Eter (ETH)
- Selv
- bevis
- nøyaktig
- henrettet
- eksisterende
- erfaren
- Exploited
- utpressing
- Fall
- Noen få
- filet
- finansiell
- Finn
- Firm
- Først
- etter
- Til
- streiftog
- Tving
- fra
- Gjeng
- Go
- skal
- Regjeringen
- Gruppe
- Gruppens
- hacker
- hackere
- HAD
- skje
- Ha
- he
- her.
- høy profil
- kroker
- TIMER
- Hvordan
- HTTPS
- i
- IBM
- identifisert
- if
- in
- Inkludert
- Intelligens
- inn
- Utstedt
- IT
- DET ER
- John
- jpg
- juni
- Vet
- kjent
- landskap
- Siste
- siste
- lett
- BEGRENSE
- knyttet
- lenker
- ligger
- Logg inn
- større
- gjøre
- GJØR AT
- Mars
- Saken
- Kan..
- bare
- Microsoft
- minimum
- speil
- Moderne
- øyeblikk
- Måned
- måneder
- mer
- flytte
- mye
- navn
- Trenger
- neste
- nst
- bemerkelsesverdig
- roman
- Antall
- of
- tilbudt
- on
- ONE
- bare
- Drift
- or
- organisasjoner
- Annen
- ut
- enn
- side
- Past
- patch
- patching
- lønn
- plukke
- stykker
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- potensiell
- potensielt
- Før
- Problem
- program
- Progress
- publisert
- hever
- ransomware
- RE
- Lese
- Lesning
- anbefaler
- redusere
- fjerne
- fjernet
- forsker
- forskere
- Svare
- ansvarlig
- Rull
- rennende
- s
- trygge
- samme
- lørdag
- skanning
- Sekund
- sikkerhet
- se
- synes
- sett
- senior
- sensitive
- Tjenester
- Shell
- bør
- signifikant
- lignende
- ganske enkelt
- siden
- nettstedet
- Sittende
- Software
- løsning
- noen
- startet
- status
- stjålet
- String
- foreslår
- overflaten
- forteller
- enn
- Det
- De
- tyveri
- deres
- Der.
- Disse
- de
- ting
- tror
- denne
- De
- selv om?
- trussel
- trussel etterretning
- trusler
- Gjennom
- tid
- til
- trafikk
- overføre
- behandling
- prøve
- Turning
- tweet
- to
- typen
- Uk
- etter
- underliggende
- brukt
- ulike
- Ve
- veldig
- ofre
- Sikkerhetsproblemer
- sårbarhet
- venter
- var
- var det ikke
- Vei..
- we
- web
- uke
- velkjent
- var
- Hva
- uansett
- når
- hvilken
- mens
- HVEM
- vil
- med
- ord
- år
- ennå
- du
- Din
- zephyrnet