По именам первых известных жертв эксплуатация нулевого дня MOVEit начала развертываться 4 июня, Microsoft связала кампанию с программа-вымогатель Cl0p, который он называет «Кружевная буря». Таким образом, это всего лишь последняя из череды очень похожих кибератак банды на различные службы передачи файлов.
С 1 июня, когда Progress Software объявили об уязвимости нулевого дня в своей программе передачи файлов MOVEit исследователи и потенциально затронутые организации пытались собрать кусочки. Анализ от Mandiant предположил, что хакеры начали использовать нулевой день еще в предыдущую субботу, 27 мая, в то время как фирма Greynoise, занимающаяся разведкой угроз, сообщили о наблюдении «сканирование страницы входа в MOVEit Transfer, расположенной по адресу /human.aspx, еще 3 марта 2023 г.».
Только за последние 24 часа стали появляться известные жертвы этой кампании. Правительство Новой Шотландии сейчас пытаюсь оценить сколько данных ее граждан было украдено, а взлом в Zellis, британской компании, занимающейся расчетом заработной платы, привел к компрометации в последующих цепочках некоторых ее высокопоставленных клиентов, включая Boots, BBCкачества British Airways.
Что касается атрибуции, то по состоянию на 2 июня Mandiant рассматривает преступников как потенциально новую группу с потенциальными связями с банда киберпреступников FIN11, известная своими кампаниями по вымогательству и вымогательству, а также статусом аффилированного лица Clop. А твит опубликован в воскресенье вечером Microsoft предложила более определенный вывод:
«Microsoft приписывает атаки с использованием CVE-2023-34362 MOVEit Перенесите уязвимость нулевого дня в компанию Lace Tempest, известную своими операциями с программами-вымогателями и управляющую сайтом-вымогателем Clop. В прошлом злоумышленник использовал подобные уязвимости для кражи данных и вымогательства у жертв», — говорится в твите.
«Мы следим за этим злоумышленником уже много лет», — сообщает Microsoft Dark Reading. Это «известная группа, ответственная за значительное количество угроз на протяжении многих лет. Lace Tempest (перекрывается с FIN11, TA505) является доминирующей силой в области программ-вымогателей и возникающего вымогательства».
Как затронутые организации должны реагировать на CVE-2023-34362
Джону Хаммонду, старшему исследователю безопасности Huntress, который был отслеживание уязвимости на прошлой неделе, атрибуция Microsoft вызывает серьезную обеспокоенность у жертв. «Я не знаю, что будет дальше. Мы пока не видели ни требований вымогателей, ни вымогательства, ни шантажа. Я не знаю, сидим ли мы в ожидании или что из этого выйдет дальше», — задается вопросом он.
2 июня компания Progress Software выпустила патч для CVE-2023-34362. Но при наличии данных, позволяющих предположить, что злоумышленники уже использовали его еще 27 мая, если не 3 марта, простого исправления недостаточно, чтобы существующие клиенты считались безопасными.
Во-первых, любые уже украденные данные могут и могут быть использованы в последующих атаках. Как отмечает Microsoft, «было два типа жертв Lace Tempest. Первый — это жертвы с эксплуатируемым сервером, на который была сброшена веб-оболочка (и с которой потенциально взаимодействовали для проведения разведки). Второй тип — это жертвы, у которых Lace Tempest украл данные." Мы ожидаем, что их следующим шагом будет вымогательство у жертв, ставших жертвами кражи данных».
Как минимум, Хаммонд советует клиентам не только исправлять, но и «просматривать эти журналы, смотреть, какие там артефакты, посмотреть, можно ли удалить любые другие крючки и когти. Даже если вы исправляете, убедитесь, что в веб-оболочке есть были удалены и удалены. Здесь вопрос должной осмотрительности».
Службы передачи файлов под киберогнем
Никакая очистка MOVEit не решит более глубокую, основную проблему, которая, похоже, возникает в последнее время: очевидно, что хакерские группы считают службы передачи файлов золотой жилой для финансовых киберпреступлений.
Всего несколько месяцев назад, Киберпреступники атаковали Aspera Faspex от IBM. За месяц до этого Cl0p провел кампанию, поразительно похожую на кампанию на прошлой неделе. против сервиса Fortra GoAnywhere. Это была даже не первая попытка Cl0p взломать передачу файлов — лет назад они сделали то же самое с Accelion.
Компаниям, которые передают конфиденциальные данные с помощью этих сервисов, придется найти долгосрочное решение проблемы, которая оказалась повсеместной. Однако каким именно будет это долгосрочное решение, неясно.
Хаммонд рекомендует «попытаться ограничить поверхность атаки. Все, что мы можем сделать, чтобы уменьшить количество программного обеспечения, которое нам либо не нужно, либо приложений, с которыми можно было бы обращаться лучше, более современным способом. Я думаю, это, пожалуй, лучшие слова». совета на данный момент, кроме: патч."
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :имеет
- :является
- :нет
- :куда
- $UP
- 1
- 2023
- 24
- 27
- 3
- a
- деятельность
- совет
- Affiliate
- против
- дыхательные пути
- уже
- Также
- количество
- an
- и
- предвидеть
- любой
- Приложения
- МЫ
- около
- AS
- At
- атаковать
- нападки
- назад
- BBC
- BE
- было
- до
- начал
- ЛУЧШЕЕ
- Лучшая
- Шантаж
- Сапоги
- нарушение
- нарушения
- Британская
- британские дыхательные пути
- но
- by
- Объявления
- Кампания
- Кампании
- CAN
- вызванный
- Граждане
- Очистить
- клиентов
- CO
- как
- приход
- Компания
- обеспокоенный
- Обеспокоенность
- заключение
- Проводить
- считается
- может
- Клиенты
- кибер-
- кибератаки
- киберпреступности
- темно
- Темное чтение
- данным
- более глубокий
- окончательный
- запросы
- DID
- усердие
- do
- доминирующий
- Дон
- упал
- два
- Рано
- усилие
- или
- появление
- достаточно
- Эфир (ETH)
- Даже
- , поскольку большинство сенаторов
- точно,
- выполненный
- существующий
- опытные
- Эксплуатируемый
- вымогательство
- Осень
- несколько
- Файл
- финансовый
- Найдите
- Фирма
- First
- после
- Что касается
- набег
- Форс-мажор
- от
- шайка
- Go
- будет
- Правительство
- группы
- Группы
- хакер
- Хакеры
- было
- происходить
- Есть
- he
- здесь
- Высокий профиль
- Крючки
- ЧАСЫ
- Как
- HTTPS
- i
- IBM
- идентифицированный
- if
- in
- В том числе
- Интеллекта
- в
- Выпущен
- IT
- ЕГО
- John
- JPG
- июнь
- Знать
- известный
- пейзаж
- Фамилия
- последний
- легкий
- ОГРАНИЧЕНИЯ
- связанный
- связи
- расположенный
- Войти
- основной
- сделать
- ДЕЛАЕТ
- Март
- Вопрос
- Май..
- просто
- Microsoft
- минимальный
- зеркало
- Модерн
- момент
- Месяц
- месяцев
- БОЛЕЕ
- двигаться
- много
- имена
- Необходимость
- следующий
- NIST
- примечательный
- роман
- номер
- of
- предложенный
- on
- ONE
- только
- Операционный отдел
- or
- организации
- Другие контрактные услуги
- внешний
- за
- страница
- мимо
- Патчи
- Заделка
- Заработная плата
- выбирать
- штук
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- потенциал
- потенциально
- Предварительный
- Проблема
- FitPartner™
- Прогресс
- опубликованный
- повышения
- вымогателей
- RE
- Читать
- Reading
- рекомендует
- Reddit.
- уменьшить
- удаление
- удален
- исследователь
- исследователи
- Реагируйте
- ответственный
- Катить
- Бег
- s
- безопасный
- то же
- суббота
- сканирование
- Во-вторых
- безопасность
- посмотреть
- кажется
- видел
- старший
- чувствительный
- Услуги
- Оболочка
- должен
- значительный
- аналогичный
- просто
- с
- сайте
- Сидящий
- Software
- Решение
- некоторые
- и политические лидеры
- Статус:
- украли
- строка
- предлагать
- Поверхность
- говорит
- чем
- который
- Ассоциация
- кража
- их
- Там.
- Эти
- они
- задача
- think
- этой
- те
- хоть?
- угроза
- разведка угроз
- угрозы
- Через
- время
- в
- трафик
- перевод
- лечения
- стараться
- Поворот
- Tweet
- два
- напишите
- Uk
- под
- лежащий в основе
- используемый
- различный
- Ve
- очень
- жертвы
- Уязвимости
- уязвимость
- Ожидание
- законопроект
- был
- Путь..
- we
- Web
- неделя
- известный
- были
- Что
- любой
- когда
- который
- в то время как
- КТО
- будете
- слова
- лет
- еще
- являетесь
- ВАШЕ
- зефирнет