Як імена перших відомих жертв с використання нульового дня MOVEit почалася 4 червня, Microsoft пов’язала кампанію програмне забезпечення-вимагач Cl0p, which it calls "Lace Tempest." That makes this merely the latest in a string of very similar cyberattacks against various file-transfer services by the gang.
З 1 червня, коли Progress Software оголосив про вразливість нульового дня у своїй програмі передачі файлів MOVEit дослідники та потенційно постраждалі організації намагалися зібрати частини. Аналіз від Mandiant припустили, що хакери почали використовувати нульовий день ще напередодні суботи, 27 травня, тоді як фірма Greynoise з аналізу загроз повідомили про спостереження "scanning activity for the login page of MOVEit Transfer located at /human.aspx as early as March 3rd, 2023."
Лише за останні 24 години почали з’являтися деякі помітні жертви цієї кампанії. Уряд Нової Шотландії є зараз намагаються оцінити how much of its citizens' data has been stolen, and a breach at Zellis, a UK payroll company, has caused downstream compromises for some of its high-profile clients, including Boots, Бі-бі-сі та British Airways.
Що стосується приписування, станом на 2 червня Mandiant розглядав злочинців як потенційно нову групу, потенційно пов’язану з кіберзлочинна група FIN11, відомий своїми кампаніями з вимагання та здирництва, а також статусом філії Clop. А твіт, опублікований у неділю ввечері Microsoft запропонував більш остаточний висновок:
"Microsoft is attributing attacks exploiting the CVE-2023-34362 MOVEit Transfer 0-day vulnerability to Lace Tempest, known for ransomware operations & running the Clop extortion site. The threat actor has used similar vulnerabilities in the past to steal data & extort victims," the tweet read.
"This threat actor is one that we've been following for years," Microsoft tells Dark Reading. They're "a well-known group responsible for a significant number of threats over the years. Lace Tempest (overlaps w/ FIN11, TA505) is a dominant force in the ransomware and emerging extortion landscape."
Як постраждалі організації мають реагувати на CVE-2023-34362
For John Hammond, a senior security researcher for Huntress who's been відстеження вразливості минулого тижня, Microsoft's attribution raises major concerns for victims. "I don't know what will happen next. We haven't seen any ransomware demands or extortion or blackmail yet. I don't know if we're sitting in waiting, or what will come of it next," he wonders.
2 червня вийшла програма Progress Software патч для CVE-2023-34362. Але з доказами того, що зловмисники вже використовували його ще 27 травня, якщо не 3 березня, простого виправлення недостатньо, щоб існуючі клієнти вважалися безпечними.
For one thing, any data already stolen can and may be used in follow-on attacks. As Microsoft points out, "there have been two kinds of victims of Lace Tempest. First are victims with an exploited server where a Web shell was dropped (and potentially interacted with to conduct reconnaissance). The second type are victims where Lace Tempest has stolen data." We anticipate their next move will be extortion of victims who have experienced data theft."
As a bare minimum, Hammond advises that customers not only patch, but also "go through those logs, see what artifacts are there, see if you can remove any other hooks and claws. Even if you patch, go make sure that Web shell has been removed and deleted. It's a matter of due diligence here."
Сервіси передачі файлів під кіберобстрілом
No amount of MOVEit cleanup will remedy a deeper, underlying problem that seems to be going around lately: It's clear that hacker groups have identified file transfer services as a goldmine for financial cybercrime.
Буквально кілька місяців тому, cybercriminals swarmed IBM's Aspera Faspex. A month before that, Cl0p executed a campaign with striking similarity to last week's effort, that time against Fortra's GoAnywhere service. It wasn't even Cl0p's first foray into file transfer breaches — років тому вони зробили те саме з Accelion.
Companies that traffic sensitive data with these services will need to find a longer-term solution to what's turning out to be an endemic problem. Exactly what that longer-term solution will be, though, is unclear.
Hammond recommends to "try to limit your attack surface. Whatever we can do to reduce software that we either don't need, or applications that could be handled in a better, more modern way. Those, I think, are maybe the best words of advice at the moment other than: patch."
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- : має
- :є
- : ні
- :де
- $UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- діяльність
- рада
- філія
- проти
- дихальні шляхи
- вже
- Також
- кількість
- an
- та
- передбачити
- будь-який
- застосування
- ЕСТЬ
- навколо
- AS
- At
- атака
- нападки
- назад
- BBC
- BE
- було
- перед тим
- почався
- КРАЩЕ
- Краще
- Шантаж
- Черевики
- порушення
- порушення
- Британський
- британські дихальні шляхи
- але
- by
- Виклики
- Кампанія
- Кампанії
- CAN
- викликаний
- громадяни
- ясно
- клієнтів
- CO
- Приходити
- майбутній
- компанія
- стурбований
- Турбота
- висновок
- Проводити
- вважається
- може
- Клієнти
- кібер-
- кібератаки
- кіберзлочинності
- темно
- Темне читання
- дані
- глибше
- остаточний
- запити
- DID
- старанність
- do
- домінуючий
- Дон
- впав
- два
- Рано
- зусилля
- або
- з'являються
- досить
- Ефір (ETH)
- Навіть
- докази
- точно
- виконано
- існуючий
- досвідчений
- експлуатований
- вимагання
- Падати
- кілька
- філе
- фінансовий
- знайти
- Фірма
- Перший
- після
- для
- Напад
- Примусово
- від
- Банда
- Go
- буде
- Уряд
- Group
- Групи
- хакер
- хакери
- було
- траплятися
- Мати
- he
- тут
- гучний
- гачки
- ГОДИННИК
- Як
- HTTPS
- i
- IBM
- ідентифікований
- if
- in
- У тому числі
- Інтелект
- в
- Випущений
- IT
- ЙОГО
- Джон
- JPG
- червень
- Знати
- відомий
- ландшафт
- останній
- останній
- світло
- МЕЖА
- пов'язаний
- зв'язку
- розташований
- Логін
- основний
- зробити
- РОБОТИ
- березня
- Матерія
- Може..
- просто
- Microsoft
- мінімальний
- дзеркало
- сучасний
- момент
- місяць
- місяців
- більше
- рухатися
- багато
- Імена
- Необхідність
- наступний
- nist
- Помітний
- роман
- номер
- of
- запропонований
- on
- ONE
- тільки
- операції
- or
- організації
- Інше
- з
- над
- сторінка
- Минуле
- пластир
- Виправлення
- Платіжна відомість
- вибирати
- частин
- plato
- Інформація про дані Платона
- PlatoData
- точок
- потенціал
- потенційно
- попередній
- Проблема
- програма
- прогрес
- опублікований
- піднімається
- вимагачів
- RE
- Читати
- читання
- рекомендує
- зменшити
- видаляти
- Вилучено
- дослідник
- Дослідники
- Реагувати
- відповідальний
- Котити
- біг
- s
- сейф
- то ж
- субота
- сканування
- другий
- безпеку
- побачити
- Здається,
- бачив
- старший
- чутливий
- Послуги
- Склад
- Повинен
- значний
- аналогічний
- просто
- з
- сайт
- Сидячий
- Софтвер
- рішення
- деякі
- почалася
- Статус
- вкрали
- рядок
- пропонувати
- поверхню
- розповідає
- ніж
- Що
- Команда
- крадіжка
- їх
- Там.
- Ці
- вони
- річ
- думати
- це
- ті
- хоча?
- загроза
- інтелектуальна загроза
- загрози
- через
- час
- до
- трафік
- переклад
- лікування
- намагатися
- Поворот
- чірікать
- два
- тип
- Uk
- при
- що лежить в основі
- використовуваний
- різний
- Ve
- дуже
- жертви
- Уразливості
- вразливість
- Очікування
- було
- wasn
- шлях..
- we
- Web
- week
- добре відомі
- були
- Що
- будь
- коли
- який
- в той час як
- ВООЗ
- волі
- з
- слова
- років
- ще
- ви
- вашу
- зефірнет