Som namnen på de första kända offren för MOVEit zero-day exploatering började rulla in den 4 juni, länkade Microsoft kampanjen till Cl0p ransomware-outfiten, som den kallar "Lace Tempest." Det gör detta till den senaste i en rad mycket liknande cyberattacker mot olika filöverföringstjänster av gänget.
Ända sedan 1 juni, då Progress Software meddelade en nolldagarssårbarhet i sitt filöverföringsprogram MOVEit har forskare och potentiellt berörda organisationer försökt plocka upp bitarna. Analys från Mandiant antydde att hackare hade börjat utnyttja nolldagen redan föregående lördag, den 27 maj, medan hotunderrättelseföretaget Greynoise rapporterade observation "skanningsaktivitet för inloggningssidan för MOVEit Transfer som finns på /human.aspx så tidigt som den 3 mars 2023."
Först under de senaste 24 timmarna har några anmärkningsvärda offer för denna kampanj börjat komma fram. Regeringen i Nova Scotia är försöker mäta just nu hur mycket av dess medborgares data har stulits och ett intrång hos Zellis, ett brittiskt löneföretag, har orsakat nedströmskompromisser för några av dess högprofilerade kunder, inklusive Boots, BBCoch British Airways.
När det gäller tillskrivning, från och med den 2 juni, hade Mandiant behandlat förövarna som en potentiellt ny grupp, med potentiella kopplingar till FIN11 cyberbrottsgänget, känd för sina ransomware- och utpressningskampanjer och status som Clop affiliate. A tweet publicerad söndag kväll av Microsoft gav en mer definitiv slutsats:
"Microsoft tillskriver attacker som utnyttjar CVE-2023-34362 MOVEit Överför 0-dagars sårbarhet till Lace Tempest, känd för ransomware-operationer och drift av Clop-utpressningsplatsen. Hotaktören har använt liknande sårbarheter i det förflutna för att stjäla data och pressa ut offer", stod det i tweeten.
"Den här hotaktören är en som vi har följt i flera år", säger Microsoft till Dark Reading. De är "en välkänd grupp som ansvarar för ett betydande antal hot genom åren. Lace Tempest (överlappar med FIN11, TA505) är en dominerande kraft i ransomware och framväxande utpressningslandskap."
Hur berörda organisationer ska svara på CVE-2023-34362
För John Hammond, senior säkerhetsforskare för Huntress som har varit spårar sårbarheten den senaste veckan, Microsofts tillskrivning väcker stor oro för offren. "Jag vet inte vad som kommer att hända härnäst. Vi har inte sett några krav på ransomware eller utpressning eller utpressning än. Jag vet inte om vi sitter och väntar, eller vad som kommer att hända härnäst", undrar han.
Den 2 juni släpptes Progress Software en patch för CVE-2023-34362. Men med bevis som tyder på att angriparna redan utnyttjade det så tidigt som den 27 maj, om inte den 3 mars, är det inte tillräckligt med patchning för att befintliga kunder ska anses vara säkra.
För det första kan och kan all data som redan stulits användas i uppföljningsattacker. Som Microsoft påpekar, "har det funnits två typer av offer för Lace Tempest. För det första är offer med en utnyttjad server där ett webbskal tappats (och potentiellt interagerat med för att genomföra spaning). Den andra typen är offer där Lace Tempest har stulit data." Vi räknar med att deras nästa drag kommer att bli utpressning av offer som har upplevt datastöld."
Som ett absolut minimum råder Hammond att kunderna inte bara lappar utan också "går igenom loggarna, se vilka artefakter som finns där, se om du kan ta bort några andra krokar och klor. Även om du lappar, se till att webbskalet har tagits bort och raderats. Det är en fråga om due diligence här."
Filöverföringstjänster under Cyber Fire
Ingen mängd MOVEit-rensning kommer att avhjälpa ett djupare, underliggande problem som verkar ha pågått på sistone: Det är uppenbart att hackergrupper har identifierat filöverföringstjänster som en guldgruva för finansiell cyberbrottslighet.
För bara några månader sedan, cyberkriminella svärmade IBMs Aspera Faspex. En månad innan dess genomförde Cl0p en kampanj med slående likhet med förra veckans insats, den gången mot Fortras GoAnywhere-tjänst. Det var inte ens Cl0ps första försök till filöverföringsbrott – år tidigare gjorde de samma sak med Accelion.
Företag som trafikerar känslig data med dessa tjänster kommer att behöva hitta en långsiktig lösning på vad som visar sig vara ett endemiskt problem. Exakt vad den långsiktiga lösningen kommer att vara är dock oklart.
Hammond rekommenderar att du "försöker begränsa din attackyta. Vad vi än kan göra för att minska mjukvara som vi antingen inte behöver, eller applikationer som skulle kunna hanteras på ett bättre och modernare sätt. Det tror jag är kanske de bästa orden andra råd för tillfället än: patch."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
- Källa: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : har
- :är
- :inte
- :var
- $UPP
- 1
- 2023
- 24
- 27
- 3
- a
- aktivitet
- rådgivning
- Dotterbolag
- mot
- luftvägarna
- redan
- också
- mängd
- an
- och
- förutse
- vilken som helst
- tillämpningar
- ÄR
- runt
- AS
- At
- attackera
- Attacker
- tillbaka
- bbc
- BE
- varit
- innan
- börjat
- BÄST
- Bättre
- Blackmail
- Kängor
- brott
- överträdelser
- Brittiska
- brittiska luftvägarna
- men
- by
- Samtal
- Kampanj
- Kampanjer
- KAN
- orsakas
- medborgare
- klar
- klienter
- CO
- komma
- kommande
- företag
- aktuella
- oro
- slutsats
- Genomför
- anses
- kunde
- Kunder
- cyber
- cyberattack
- cyberbrottslighet
- mörkt
- Mörk läsning
- datum
- djupare
- slutgiltig
- krav
- DID
- flit
- do
- dominerande
- donation
- tappade
- grund
- Tidig
- ansträngning
- antingen
- smärgel
- tillräckligt
- Eter (ETH)
- Även
- bevis
- exakt
- exekveras
- befintliga
- erfaren
- utnyttjas
- utpressning
- Höst
- få
- Fil
- finansiella
- hitta
- Firm
- Förnamn
- efter
- För
- Plundringståg
- kraft
- från
- Gäng
- Go
- kommer
- Regeringen
- Grupp
- Gruppens
- Hackaren
- hackare
- hade
- hända
- Har
- he
- här.
- hög profil
- krokar
- ÖPPETTIDER
- Hur ser din drömresa ut
- HTTPS
- i
- IBM
- identifierade
- if
- in
- Inklusive
- Intelligens
- in
- Utfärdad
- IT
- DESS
- John
- jpg
- juni
- Vet
- känd
- liggande
- Efternamn
- senaste
- ljus
- BEGRÄNSA
- kopplade
- länkar
- belägen
- logga in
- större
- göra
- GÖR
- Mars
- Materia
- Maj..
- endast
- Microsoft
- minsta
- spegel
- Modern Konst
- ögonblick
- Månad
- månader
- mer
- flytta
- mycket
- namn
- Behöver
- Nästa
- NIST
- anmärkningsvärd
- roman
- antal
- of
- erbjuds
- on
- ONE
- endast
- Verksamhet
- or
- organisationer
- Övriga
- ut
- över
- sida
- Tidigare
- Lappa
- Patching
- Lön
- plocka
- bitar
- plato
- Platon Data Intelligence
- PlatonData
- poäng
- potentiell
- potentiellt
- Innan
- Problem
- Program
- Framsteg
- publicerade
- höjer
- Ransomware
- RE
- Läsa
- Läsning
- rekommenderar
- minska
- ta bort
- avlägsnas
- forskaren
- forskare
- Svara
- ansvarig
- Rulla
- rinnande
- s
- säker
- Samma
- lördag
- scanning
- Andra
- säkerhet
- se
- verkar
- sett
- senior
- känslig
- Tjänster
- Shell
- skall
- signifikant
- liknande
- helt enkelt
- eftersom
- webbplats
- Sittande
- Mjukvara
- lösning
- några
- igång
- status
- stulna
- Sträng
- föreslå
- yta
- berättar
- än
- den där
- Smakämnen
- stöld
- deras
- Där.
- Dessa
- de
- sak
- tror
- detta
- de
- fastän?
- hot
- hot intelligence
- hot
- Genom
- tid
- till
- trafik
- överföring
- behandling
- prova
- Vrida
- tweet
- två
- Typ
- Uk
- under
- underliggande
- Begagnade
- olika
- Ve
- mycket
- offer
- sårbarheter
- sårbarhet
- väntar
- var
- var inte
- Sätt..
- we
- webb
- vecka
- ALLBEKANT
- były
- Vad
- oberoende
- när
- som
- medan
- VEM
- kommer
- med
- ord
- år
- ännu
- dig
- Din
- zephyrnet