Kot imena prvih znanih žrtev izkoriščanje MOVEit zero-day začela pojavljati 4. junija, Microsoft je kampanjo povezal s opremo za izsiljevalsko programsko opremo Cl0p, ki ga imenuje »Čipkasti vihar«. Zaradi tega je to le zadnji v nizu zelo podobnih kibernetskih napadov tolpe na različne storitve prenosa datotek.
Vse od 1. junija, ko je Progress Software napovedal ranljivost ničelnega dne v svojem programu za prenos datotek MOVEit so raziskovalci in potencialno prizadete organizacije poskušali pobrati koščke. Analiza podjetja Mandiant namigoval, da so hekerji začeli izkoriščati zero-day že prejšnjo soboto, 27. maja, medtem ko je podjetje za obveščanje o grožnjah Greynoise poročali o opazovanju »dejavnost skeniranja za prijavno stran MOVEit Transfer, ki se nahaja na /human.aspx, že 3. marca 2023.«
Šele v zadnjih 24 urah so nekatere pomembne žrtve te kampanje začele prihajati na dan. Vlada Nove Škotske je trenutno poskušam izmeriti koliko podatkov njegovih državljanov je bilo ukradenih, in kršitev v podjetju Zellis, britanskem podjetju za obračun plač, je povzročila nadaljnje ogrožanje nekaterih njegovih odmevnih strank, vključno z Boots, BBCin British Airways.
Kar zadeva pripisovanje, je Mandiant od 2. junija storilce obravnaval kot potencialno novo skupino, ki je bila potencialno povezana z kibernetsko kriminalno združbo FIN11, znan po svojih kampanjah z izsiljevalsko programsko opremo in izsiljevanjem ter statusu podružnice Clop. A tvit, objavljen v nedeljo zvečer Microsoft je ponudil bolj dokončen zaključek:
»Microsoft napade pripisuje izkoriščanju CVE-2023-34362 MOVEit Prenesite 0-dnevno ranljivost na Lace Tempest, znano po operacijah izsiljevalske programske opreme in vodenju izsiljevalskega mesta Clop. Akter grožnje je v preteklosti uporabil podobne ranljivosti za krajo podatkov in izsiljevanje žrtev,« je zapisano v tvitu.
»Ta grožnja je tista, ki jo spremljamo že leta,« je Microsoft povedal za Dark Reading. So »dobro znana skupina, odgovorna za veliko število groženj v preteklih letih. Lace Tempest (prekrivajo se z FIN11, TA505) je prevladujoča sila v okolju izsiljevalske programske opreme in nastajajočega izsiljevanja.«
Kako naj se prizadete organizacije odzovejo na CVE-2023-34362
Za Johna Hammonda, višjega varnostnega raziskovalca za Huntress, ki je bil sledenje ranljivosti prejšnji teden, Microsoftovo pripisovanje vzbuja velike pomisleke pri žrtvah. »Ne vem, kaj se bo zgodilo naprej. Nismo še videli nobenih zahtev po izsiljevalski programski opremi, izsiljevanja ali izsiljevanja. Ne vem, ali čakamo ali kaj bo iz tega,« se sprašuje.
2. junija je izšla programska oprema Progress popravek za CVE-2023-34362. Toda z dokazi, ki kažejo, da so ga napadalci že izkoriščali že 27. maja, če ne 3. marca, preprosto popravilo ni dovolj, da bi obstoječe stranke veljale za varne.
Prvič, vsi že ukradeni podatki se lahko in smejo uporabiti v nadaljnjih napadih. Kot poudarja Microsoft, »sta bili dve vrsti žrtev Lace Tempest. Najprej so žrtve z izkoriščenim strežnikom, kamor je bila odpuščena spletna lupina (in potencialno interakcija z njo za izvajanje izvida). Druga vrsta so žrtve, pri katerih je Lace Tempest ukradel podatke.« Predvidevamo, da bo njihova naslednja poteza izsiljevanje žrtev, ki so doživele krajo podatkov.«
Kot minimum Hammond svetuje, naj stranke ne le popravijo, ampak tudi »pregledajo te dnevnike, poiščejo, kateri artefakti so tam, poiščejo, ali lahko odstranijo še kakšne druge kljuke in kremplje. Tudi če popravite, se prepričajte, da je bila spletna lupina odstranjena in izbrisana. Tukaj gre za skrbni pregled.”
Storitve prenosa datotek pod kibernetskim ognjem
Nobena količina čiščenja MOVEit ne bo odpravila globlje, osnovne težave, za katero se zdi, da se zadnje čase pojavlja: jasno je, da so hekerske skupine prepoznale storitve prenosa datotek kot zlato jamo za finančni kibernetski kriminal.
Samo nekaj mesecev nazaj, kibernetski kriminalci so napadli IBM-ovo Aspera Faspex. Mesec pred tem je Cl0p izvedel kampanjo, ki je presenetljivo podobna prizadevanjem prejšnjega tedna, takrat proti Fortrini storitvi GoAnywhere. To niti ni bil prvi napad Cl0p na kršitve prenosa datotek - pred leti so enako storili Accelionu.
Podjetja, ki prenašajo občutljive podatke s temi storitvami, bodo morala najti dolgoročnejšo rešitev za to, kar se je izkazalo za endemično težavo. Kaj točno bo ta dolgoročnejša rešitev, pa ni jasno.
Hammond priporoča, da »poskusite omejiti svojo napadalno površino. Vse, kar lahko storimo, da zmanjšamo programsko opremo, ki je ne potrebujemo, ali aplikacije, s katerimi bi lahko ravnali na boljši in sodobnejši način. Mislim, da so to morda najboljši nasveti v tem trenutku, razen: obliž.«
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 2023
- 24
- 27
- 3.
- a
- dejavnost
- nasveti
- Affiliate Program
- proti
- dihalne poti
- že
- Prav tako
- znesek
- an
- in
- pričakujte
- kaj
- aplikacije
- SE
- okoli
- AS
- At
- napad
- Napadi
- nazaj
- Dnevnik
- BE
- bilo
- pred
- začel
- BEST
- Boljše
- Izsiljevanje
- Škornji
- kršitev
- kršitve
- Britanski
- britanske dihalne poti
- vendar
- by
- poziva
- Akcija
- Kampanje
- CAN
- povzročilo
- Državljani
- jasno
- stranke
- CO
- kako
- prihajajo
- podjetje
- zaskrbljen
- Skrbi
- Sklenitev
- Ravnanje
- šteje
- bi
- Stranke, ki so
- cyber
- kibernetski napadi
- kibernetski kriminaliteti
- Temnomodra
- Temno branje
- datum
- globlje
- dokončno
- zahteve
- DID
- skrbnosti
- do
- prevladujoč
- don
- padla
- 2
- Zgodnje
- prizadevanje
- bodisi
- smirkovim
- dovolj
- Eter (ETH)
- Tudi
- dokazi
- točno
- izvršeno
- obstoječih
- izkušen
- Exploited
- izsiljevanje
- Padec
- Nekaj
- file
- finančna
- Najdi
- Firm
- prva
- po
- za
- Napad
- moč
- iz
- Gang
- Go
- dogaja
- vlada
- skupina
- Skupine
- heker
- hekerji
- imel
- se zgodi
- Imajo
- he
- tukaj
- odmeven
- kljuke
- URE
- Kako
- HTTPS
- i
- IBM
- identificirati
- if
- in
- Vključno
- Intelligence
- v
- Izdala
- IT
- ITS
- John
- jpg
- junij
- Vedite
- znano
- Pokrajina
- Zadnja
- Zadnji
- light
- LIMIT
- povezane
- Povezave
- nahaja
- prijava
- velika
- Znamka
- IZDELA
- marec
- Matter
- Maj ..
- zgolj
- Microsoft
- minimalna
- ogledalo
- sodobna
- Trenutek
- mesec
- mesecev
- več
- premikanje
- veliko
- Imena
- Nimate
- Naslednja
- nst
- opazen
- roman
- Številka
- of
- ponujen
- on
- ONE
- samo
- operacije
- or
- organizacije
- Ostalo
- ven
- več
- Stran
- preteklosti
- Patch
- Zaplata
- Plače
- kramp
- kosov
- platon
- Platonova podatkovna inteligenca
- PlatoData
- točke
- potencial
- potencialno
- Predhodna
- problem
- Program
- Napredek
- objavljeno
- povečuje
- izsiljevalska
- RE
- Preberi
- reading
- priporoča
- zmanjša
- odstrani
- Odstranjeno
- raziskovalec
- raziskovalci
- Odzove
- odgovorna
- Roll
- tek
- s
- varna
- Enako
- sobota
- skeniranje
- drugi
- varnost
- glej
- Zdi se,
- videl
- višji
- občutljiva
- Storitve
- Shell
- shouldnt
- pomemben
- Podoben
- preprosto
- saj
- spletna stran
- Sedenje
- Software
- Rešitev
- nekaj
- začel
- Status
- ukradeno
- String
- predlagajte
- Površina
- pove
- kot
- da
- O
- Kraja
- njihove
- Tukaj.
- te
- jih
- stvar
- mislim
- ta
- tisti,
- čeprav?
- Grožnja
- obveščevalna nevarnost
- grožnje
- skozi
- čas
- do
- Prometa
- prenos
- zdravljenje
- poskusite
- Obračalni
- tweet
- dva
- tip
- Uk
- pod
- osnovni
- Rabljeni
- različnih
- Ve
- zelo
- žrtve
- Ranljivosti
- ranljivost
- Čakam
- je
- ni bilo
- način..
- we
- web
- teden
- dobro znana
- so bili
- Kaj
- karkoli
- kdaj
- ki
- medtem
- WHO
- bo
- z
- besede
- let
- še
- jo
- Vaša rutina za
- zefirnet