Kot imena prvih znanih žrtev izkoriščanje MOVEit zero-day začela pojavljati 4. junija, Microsoft je kampanjo povezal s opremo za izsiljevalsko programsko opremo Cl0p, ki ga imenuje "Čipkasti vihar." Zaradi tega je to le zadnji v nizu zelo podobnih kibernetskih napadov tolpe na različne storitve prenosa datotek.
Vse od 1. junija, ko je Progress Software napovedal ranljivost ničelnega dne v svojem programu za prenos datotek MOVEit so raziskovalci in potencialno prizadete organizacije poskušali pobrati koščke. Analiza podjetja Mandiant namigoval, da so hekerji začeli izkoriščati zero-day že prejšnjo soboto, 27. maja, medtem ko je podjetje za obveščanje o grožnjah Greynoise poročali o opazovanju "dejavnost skeniranja za prijavno stran MOVEit Transfer, ki se nahaja na /human.aspx, že 3. marca 2023."
Šele v zadnjih 24 urah so nekatere pomembne žrtve te kampanje začele prihajati na dan. Vlada Nove Škotske je trenutno poskušam izmeriti koliko podatkov njenih državljanov je bilo ukradenih, in kršitev v podjetju Zellis, britanskem podjetju za obračun plač, je povzročila nadaljnje ogrožanje nekaterih njegovih odmevnih strank, vključno z Boots, BBCin British Airways.
Kar zadeva pripisovanje, je Mandiant od 2. junija storilce obravnaval kot potencialno novo skupino, ki je bila potencialno povezana z kibernetsko kriminalno združbo FIN11, znan po svojih kampanjah z izsiljevalsko programsko opremo in izsiljevanjem ter statusu podružnice Clop. A tvit, objavljen v nedeljo zvečer Microsoft je ponudil bolj dokončen zaključek:
"Microsoft napade pripisuje izkoriščanju CVE-2023-34362 MOVEit Prenesite 0-dnevno ranljivost na Lace Tempest, znano po operacijah izsiljevalske programske opreme in vodenju izsiljevalskega mesta Clop. Akter grožnje je v preteklosti uporabil podobne ranljivosti za krajo podatkov in izsiljevanje žrtev,« je zapisano v tvitu.
"Ta akter grožnje je tisti, ki ga spremljamo že leta," je Microsoft povedal za Dark Reading. So "dobro znana skupina, odgovorna za precejšnje število groženj v preteklih letih. Lace Tempest (prekriva se z FIN11, TA505) je prevladujoča sila v krajini izsiljevalske programske opreme in nastajajočega izsiljevanja."
Kako naj se prizadete organizacije odzovejo na CVE-2023-34362
Za Johna Hammonda, višjega varnostnega raziskovalca za Huntress, ki je bil sledenje ranljivosti prejšnji teden, Microsoftovo pripisovanje vzbuja velike pomisleke pri žrtvah. "Ne vem, kaj se bo zgodilo naprej. Nismo še videli nobenih zahtev po izsiljevalski programski opremi, izsiljevanja ali izsiljevanja. Ne vem, ali čakamo in kaj bo iz tega," se sprašuje.
2. junija je izšla programska oprema Progress popravek za CVE-2023-34362. Toda z dokazi, ki kažejo, da so ga napadalci že izkoriščali že 27. maja, če ne 3. marca, preprosto popravilo ni dovolj, da bi obstoječe stranke veljale za varne.
Prvič, vsi že ukradeni podatki se lahko in smejo uporabiti v nadaljnjih napadih. Kot poudarja Microsoft, "obstajata dve vrsti žrtev Lace Tempest. Prva so žrtve z izkoriščenim strežnikom, kamor je bila spuščena spletna lupina (in potencialno interakcija z njo za izvedbo izvida). Druga vrsta so žrtve, kjer je Lace Tempest ukradel podatki." Predvidevamo, da bo njihova naslednja poteza izsiljevanje žrtev, ki so doživele krajo podatkov."
Kot minimum Hammond svetuje, naj stranke ne le popravijo, ampak tudi "pregledajo te dnevnike, poiščejo, kateri artefakti so tam, poiščejo, ali lahko odstranijo še kakšne druge kljuke in kremplje. Tudi če popravite, se prepričajte, da ima spletna lupina je bil odstranjen in izbrisan. Tu gre za potrebno skrbnost."
Storitve prenosa datotek pod kibernetskim ognjem
Nobena količina čiščenja MOVEit ne bo odpravila globljega, temeljnega problema, za katerega se zdi, da se zadnje čase pojavlja: jasno je, da so hekerske skupine prepoznale storitve prenosa datotek kot zlato jamo za finančni kibernetski kriminal.
Samo nekaj mesecev nazaj, kibernetski kriminalci so napadli IBM-ovo Aspera Faspex. Mesec pred tem je Cl0p izvedel kampanjo, ki je presenetljivo podobna prizadevanjem prejšnjega tedna, takrat proti Fortrini storitvi GoAnywhere. To niti ni bil prvi napad Cl0p na kršitve prenosa datotek - pred leti so enako storili Accelionu.
Podjetja, ki posredujejo občutljive podatke s temi storitvami, bodo morala najti dolgoročnejšo rešitev za to, kar se je izkazalo za endemično težavo. Kaj točno bo ta dolgoročnejša rešitev, pa ni jasno.
Hammond priporoča, da "poskušamo omejiti svojo napadalno površino. Karkoli lahko storimo, da zmanjšamo programsko opremo, ki je bodisi ne potrebujemo, ali aplikacije, ki bi jih lahko obravnavali na boljši, sodobnejši način. Mislim, da so to najboljše besede nasvetov v tem trenutku razen: obliž."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoAiStream. Podatkovna inteligenca Web3. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- Kupujte in prodajajte delnice podjetij pred IPO s PREIPO®. Dostopite tukaj.
- vir: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 2023
- 24
- 27
- 3.
- a
- dejavnost
- nasveti
- Affiliate Program
- proti
- dihalne poti
- že
- Prav tako
- znesek
- an
- in
- pričakujte
- kaj
- aplikacije
- SE
- okoli
- AS
- At
- napad
- Napadi
- nazaj
- Dnevnik
- BE
- bilo
- pred
- začel
- BEST
- Boljše
- Izsiljevanje
- Škornji
- kršitev
- kršitve
- Britanski
- britanske dihalne poti
- vendar
- by
- poziva
- Akcija
- Kampanje
- CAN
- povzročilo
- Državljani
- jasno
- stranke
- CO
- kako
- prihajajo
- podjetje
- zaskrbljen
- Skrbi
- Sklenitev
- Ravnanje
- šteje
- bi
- Stranke, ki so
- cyber
- kibernetski napadi
- kibernetski kriminaliteti
- Temnomodra
- Temno branje
- datum
- globlje
- dokončno
- zahteve
- DID
- skrbnosti
- do
- prevladujoč
- don
- padla
- 2
- Zgodnje
- prizadevanje
- bodisi
- smirkovim
- dovolj
- Eter (ETH)
- Tudi
- dokazi
- točno
- izvršeno
- obstoječih
- izkušen
- Exploited
- izsiljevanje
- Padec
- Nekaj
- file
- finančna
- Najdi
- Firm
- prva
- po
- za
- Napad
- moč
- iz
- Gang
- Go
- dogaja
- vlada
- skupina
- Skupine
- heker
- hekerji
- imel
- se zgodi
- Imajo
- he
- tukaj
- odmeven
- kljuke
- URE
- Kako
- HTTPS
- i
- IBM
- identificirati
- if
- in
- Vključno
- Intelligence
- v
- Izdala
- IT
- ITS
- John
- jpg
- junij
- Vedite
- znano
- Pokrajina
- Zadnja
- Zadnji
- light
- LIMIT
- povezane
- Povezave
- nahaja
- prijava
- velika
- Znamka
- IZDELA
- marec
- Matter
- Maj ..
- zgolj
- Microsoft
- minimalna
- ogledalo
- sodobna
- Trenutek
- mesec
- mesecev
- več
- premikanje
- veliko
- Imena
- Nimate
- Naslednja
- nst
- opazen
- roman
- Številka
- of
- ponujen
- on
- ONE
- samo
- operacije
- or
- organizacije
- Ostalo
- ven
- več
- Stran
- preteklosti
- Patch
- Zaplata
- Plače
- kramp
- kosov
- platon
- Platonova podatkovna inteligenca
- PlatoData
- točke
- potencial
- potencialno
- Predhodna
- problem
- Program
- Napredek
- objavljeno
- povečuje
- izsiljevalska
- RE
- Preberi
- reading
- priporoča
- zmanjša
- odstrani
- Odstranjeno
- raziskovalec
- raziskovalci
- Odzove
- odgovorna
- Roll
- tek
- s
- varna
- Enako
- sobota
- skeniranje
- drugi
- varnost
- glej
- Zdi se,
- videl
- višji
- občutljiva
- Storitve
- Shell
- shouldnt
- pomemben
- Podoben
- preprosto
- saj
- spletna stran
- Sedenje
- Software
- Rešitev
- nekaj
- začel
- Status
- ukradeno
- String
- predlagajte
- Površina
- pove
- kot
- da
- O
- Kraja
- njihove
- Tukaj.
- te
- jih
- stvar
- mislim
- ta
- tisti,
- čeprav?
- Grožnja
- obveščevalna nevarnost
- grožnje
- skozi
- čas
- do
- Prometa
- prenos
- zdravljenje
- poskusite
- Obračalni
- tweet
- dva
- tip
- Uk
- pod
- osnovni
- Rabljeni
- različnih
- Ve
- zelo
- žrtve
- Ranljivosti
- ranljivost
- Čakam
- je
- ni bilo
- način..
- we
- web
- teden
- dobro znana
- so bili
- Kaj
- karkoli
- kdaj
- ki
- medtem
- WHO
- bo
- z
- besede
- let
- še
- jo
- Vaša rutina za
- zefirnet