Як імена перших відомих жертв с використання нульового дня MOVEit почалася 4 червня, Microsoft пов’язала кампанію програмне забезпечення-вимагач Cl0p, який він називає «Мереживна буря». Це робить це лише останньою в низці дуже схожих кібератак на різні служби передачі файлів, здійснених бандою.
З 1 червня, коли Progress Software оголосив про вразливість нульового дня у своїй програмі передачі файлів MOVEit дослідники та потенційно постраждалі організації намагалися зібрати частини. Аналіз від Mandiant припустили, що хакери почали використовувати нульовий день ще напередодні суботи, 27 травня, тоді як фірма Greynoise з аналізу загроз повідомили про спостереження «Сканування сторінки входу MOVEit Transfer, розташованої за адресою /human.aspx, ще 3 березня 2023 року».
Лише за останні 24 години почали з’являтися деякі помітні жертви цієї кампанії. Уряд Нової Шотландії є зараз намагаються оцінити скільки даних її громадян було вкрадено, а злом у Zellis, британській компанії, що нараховує заробітну плату, спричинив компрометацію деяких її відомих клієнтів, зокрема Boots, Бі-бі-сі та British Airways.
Що стосується приписування, станом на 2 червня Mandiant розглядав злочинців як потенційно нову групу, потенційно пов’язану з кіберзлочинна група FIN11, відомий своїми кампаніями з вимагання та здирництва, а також статусом філії Clop. А твіт, опублікований у неділю ввечері Microsoft запропонував більш остаточний висновок:
«Microsoft приписує атаки з використанням CVE-2023-34362 MOVEit Передача 0-денної вразливості Lace Tempest, відомому своїми операціями з програмами-вимагачами та запуском сайту здирництва Clop. Зловмисник використовував подібні вразливості в минулому, щоб викрасти дані та вимагати жертв», — йдеться у твіті.
«За цією загрозою ми стежимо роками», — повідомляє Microsoft Dark Reading. Вони «добре відома група, відповідальна за значну кількість загроз протягом багатьох років. Мереживна буря (перекриття з FIN11, TA505) є домінуючою силою в нових програмах-вимагачах і здирництві».
Як постраждалі організації мають реагувати на CVE-2023-34362
Для Джона Хаммонда, старшого дослідника безпеки для Huntress, який був відстеження вразливості минулого тижня, атрибуція Microsoft викликає серйозні занепокоєння у жертв. «Я не знаю, що буде далі. Ми ще не бачили жодних вимог щодо програм-вимагачів, здирництва чи шантажу. Я не знаю, чи ми сидимо в очікуванні, чи що з цього буде далі», – дивується він.
2 червня вийшла програма Progress Software патч для CVE-2023-34362. Але з доказами того, що зловмисники вже використовували його ще 27 травня, якщо не 3 березня, простого виправлення недостатньо, щоб існуючі клієнти вважалися безпечними.
По-перше, будь-які вже вкрадені дані можуть і можуть бути використані в наступних атаках. Як зазначає Microsoft, «було два види жертв Lace Tempest. По-перше, це жертви з експлуатованим сервером, куди було скинуто веб-оболонку (і потенційно взаємодіяли з нею для проведення розвідки). Другий тип — жертви, у яких Lace Tempest вкрала дані». Ми очікуємо, що їхнім наступним кроком буде вимагання жертв, які зазнали крадіжки даних».
Як мінімум Хаммонд радить клієнтам не лише латати, а й «переглядати ці колоди, дивитися, які там артефакти, чи можна видалити будь-які інші гачки та кігті. Навіть якщо ви виправите, переконайтеся, що веб-оболонку видалено та видалено. Тут справа в належній обачності».
Сервіси передачі файлів під кіберобстрілом
Жодне очищення MOVEit не вирішить глибшу основну проблему, яка, здається, виникла останнім часом: очевидно, що групи хакерів визначили служби передачі файлів як золоту жилу для фінансових кіберзлочинів.
Буквально кілька місяців тому, кіберзлочинці заполонили Aspera Faspex від IBM. За місяць до цього Cl0p виконав кампанію, разюче подібну до минулого тижня, тоді проти послуги Fortra GoAnywhere. Це був навіть не перший набіг Cl0p на порушення передачі файлів — років тому вони зробили те саме з Accelion.
Компанії, які передають конфіденційні дані за допомогою цих служб, повинні будуть знайти довгострокове рішення проблеми, яка, як виявляється, є ендемічною. Проте, яким саме буде це довгострокове рішення, незрозуміло.
Хаммонд рекомендує «намагатися обмежити свою поверхню атаки. Все, що ми можемо зробити, щоб зменшити програмне забезпечення, яке нам або не потрібно, або програми, які можна було б обробляти кращим і сучаснішим способом. На мою думку, це, мабуть, найкраща порада на даний момент, крім: латка».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : має
- :є
- : ні
- :де
- $UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- діяльність
- рада
- філія
- проти
- дихальні шляхи
- вже
- Також
- кількість
- an
- та
- передбачити
- будь-який
- застосування
- ЕСТЬ
- навколо
- AS
- At
- атака
- нападки
- назад
- BBC
- BE
- було
- перед тим
- почався
- КРАЩЕ
- Краще
- Шантаж
- Черевики
- порушення
- порушення
- Британський
- британські дихальні шляхи
- але
- by
- Виклики
- Кампанія
- Кампанії
- CAN
- викликаний
- громадяни
- ясно
- клієнтів
- CO
- Приходити
- майбутній
- компанія
- стурбований
- Турбота
- висновок
- Проводити
- вважається
- може
- Клієнти
- кібер-
- кібератаки
- кіберзлочинності
- темно
- Темне читання
- дані
- глибше
- остаточний
- запити
- DID
- старанність
- do
- домінуючий
- Дон
- впав
- два
- Рано
- зусилля
- або
- з'являються
- досить
- Ефір (ETH)
- Навіть
- докази
- точно
- виконано
- існуючий
- досвідчений
- експлуатований
- вимагання
- Падати
- кілька
- філе
- фінансовий
- знайти
- Фірма
- Перший
- після
- для
- Напад
- Примусово
- від
- Банда
- Go
- буде
- Уряд
- Group
- Групи
- хакер
- хакери
- було
- траплятися
- Мати
- he
- тут
- гучний
- гачки
- ГОДИННИК
- Як
- HTTPS
- i
- IBM
- ідентифікований
- if
- in
- У тому числі
- Інтелект
- в
- Випущений
- IT
- ЙОГО
- Джон
- JPG
- червень
- Знати
- відомий
- ландшафт
- останній
- останній
- світло
- МЕЖА
- пов'язаний
- зв'язку
- розташований
- Логін
- основний
- зробити
- РОБОТИ
- березня
- Матерія
- Може..
- просто
- Microsoft
- мінімальний
- дзеркало
- сучасний
- момент
- місяць
- місяців
- більше
- рухатися
- багато
- Імена
- Необхідність
- наступний
- nist
- Помітний
- роман
- номер
- of
- запропонований
- on
- ONE
- тільки
- операції
- or
- організації
- Інше
- з
- над
- сторінка
- Минуле
- пластир
- Виправлення
- Платіжна відомість
- вибирати
- частин
- plato
- Інформація про дані Платона
- PlatoData
- точок
- потенціал
- потенційно
- попередній
- Проблема
- програма
- прогрес
- опублікований
- піднімається
- вимагачів
- RE
- Читати
- читання
- рекомендує
- зменшити
- видаляти
- Вилучено
- дослідник
- Дослідники
- Реагувати
- відповідальний
- Котити
- біг
- s
- сейф
- то ж
- субота
- сканування
- другий
- безпеку
- побачити
- Здається,
- бачив
- старший
- чутливий
- Послуги
- Склад
- Повинен
- значний
- аналогічний
- просто
- з
- сайт
- Сидячий
- Софтвер
- рішення
- деякі
- почалася
- Статус
- вкрали
- рядок
- пропонувати
- поверхню
- розповідає
- ніж
- Що
- Команда
- крадіжка
- їх
- Там.
- Ці
- вони
- річ
- думати
- це
- ті
- хоча?
- загроза
- інтелектуальна загроза
- загрози
- через
- час
- до
- трафік
- переклад
- лікування
- намагатися
- Поворот
- чірікать
- два
- тип
- Uk
- при
- що лежить в основі
- використовуваний
- різний
- Ve
- дуже
- жертви
- Уразливості
- вразливість
- Очікування
- було
- wasn
- шлях..
- we
- Web
- week
- добре відомі
- були
- Що
- будь
- коли
- який
- в той час як
- ВООЗ
- волі
- з
- слова
- років
- ще
- ви
- вашу
- зефірнет