Modern technology gives us many things.

Η Microsoft συνδέει τη συμμορία ransomware Clop με επιθέσεις κλοπής δεδομένων MOVEit

Η Microsoft έχει συνδέσει τη συμμορία ransomware Clop με πρόσφατες επιθέσεις που εκμεταλλεύονται μια ευπάθεια zero-day στην πλατφόρμα MOVEit Transfer για την κλοπή δεδομένων από οργανισμούς.

“Η Microsoft αποδίδει επιθέσεις που εκμεταλλεύονται την ευπάθεια CVE-2023-34362 MOVEit Transfer 0-day στο Lace Tempest, γνωστό για τις λειτουργίες ransomware και τη λειτουργία του ιστότοπου εκβιασμού Clop”, η ομάδα της Microsoft Threat Intelligence ανέβασε στο Twitter ΚΥΡΙΑΚΗ βραδυ.

«Ο ηθοποιός της απειλής έχει χρησιμοποιήσει παρόμοια τρωτά σημεία στο παρελθόν για να κλέψει δεδομένα και να εκβιάσει θύματα».

Την περασμένη Πέμπτη, ο BleepingComputer ήταν ο πρώτος που ανέφερε ότι οι φορείς απειλών εκμεταλλεύονταν μια ευπάθεια zero-day στους διακομιστές MOVEit Transfer για να κλέψουν δεδομένα από οργανισμούς.

Το MOVEit Transfer είναι μια λύση διαχειριζόμενης μεταφοράς αρχείων (MFT) που επιτρέπει στην επιχείρηση να μεταφέρει με ασφάλεια αρχεία μεταξύ επιχειρηματικών συνεργατών και πελατών χρησιμοποιώντας μεταφορτώσεις που βασίζονται σε SFTP, SCP και HTTP.

Οι επιθέσεις πιστεύεται ότι ξεκίνησαν στις 27 Μαΐου, κατά τη διάρκεια της μεγάλης αργίας της Ημέρας Μνήμης των ΗΠΑ, με την BleepingComputer να γνωρίζει ότι πολλοί οργανισμοί είχαν κλαπεί δεδομένα κατά τη διάρκεια των επιθέσεων.

Οι φορείς απειλών χρησιμοποίησαν την ευπάθεια zero-day MOVEit για να ρίξουν ειδικά δημιουργημένα webshells σε διακομιστές, επιτρέποντάς τους να ανακτήσουν μια λίστα αρχείων που είναι αποθηκευμένα στον διακομιστή, να κατεβάσουν αρχεία και να κλέψουν τα διαπιστευτήρια/μυστικά για τα διαμορφωμένα κοντέινερ αποθήκευσης Azure Blob.

Το Webshell εγκαθίσταται κατά τις επιθέσεις MOVEit
Το Webshell εγκαθίσταται κατά τις επιθέσεις MOVEit
Πηγή: BleepingComputer

Αν και δεν ήταν σαφές εκείνη την εποχή ποιος ήταν πίσω από τις επιθέσεις, πιστευόταν ευρέως ότι η επιχείρηση ransomware Clop ήταν υπεύθυνη λόγω ομοιοτήτων με προηγούμενες επιθέσεις που διεξήγαγε η ομάδα.

Η λειτουργία ransomware Clop είναι γνωστό ότι στοχεύει λογισμικό διαχειριζόμενης μεταφοράς αρχείων, που προηγουμένως ήταν υπεύθυνο για επιθέσεις κλοπής δεδομένων χρησιμοποιώντας ένα GoAnywhere MFT zero-day τον Ιανουάριο του 2023 και τη μηδενική εκμετάλλευση διακομιστών Accellion FTA το 2020.

Η Microsoft λέει ότι τώρα συνδέει τις επιθέσεις με το “Lace Tempest”, χρησιμοποιώντας ένα νέο σχέδιο ονοματοδοσίας ηθοποιών απειλών εισήχθη τον Απρίλιο. Το Lace Tempest είναι πιο γνωστό ως TA505, FIN11 ή DEV-0950.

Προς το παρόν, η επιχείρηση ransomware Clop δεν έχει ξεκινήσει να εκβιάζει θύματα, με τους υπαλλήλους που ανταποκρίνονται στα περιστατικά να λένε στην BleepingComputer ότι τα θύματα δεν έχουν λάβει ακόμη αιτήματα εκβιασμού.

Ωστόσο, η συμμορία Clop είναι γνωστό ότι περιμένει μερικές εβδομάδες μετά την κλοπή δεδομένων πριν στείλει email σε στελέχη της εταιρείας με τις απαιτήσεις τους.

«Εσκεμμένα δεν αποκαλύψαμε ότι ο οργανισμός σας ήθελε να διαπραγματευτεί πρώτα με εσάς και την ηγεσία σας», αναφέρει ένα σημείωμα λύτρων Clop που στάλθηκε κατά τη διάρκεια των επιθέσεων εκβιασμού στο GoAnywhere.

“Εάν μας αγνοήσετε, θα πουλήσουμε τις πληροφορίες σας στη μαύρη αγορά και θα τις δημοσιεύσουμε στο ιστολόγιό μας, το οποίο δέχεται 30-50 χιλιάδες μοναδικούς επισκέπτες την ημέρα. Μπορείτε να διαβάσετε για εμάς στο Google κάνοντας αναζήτηση για ομάδα χάκερ CLOP.”

Ιστορικά, μόλις ο Clop αρχίσει να εκβιάζει θύματα, θα προσθέσει μια ροή νέων θυμάτων στον ιστότοπο διαρροής δεδομένων με απειλές ότι σύντομα θα δημοσιευτούν κλεμμένα αρχεία για να ασκήσουν περαιτέρω πίεση στα σχέδια εκβιασμών τους.

Για τις επιθέσεις GoAnywhere, χρειάστηκε λίγο περισσότερο από ένα μήνα μέχρι να δούμε τα θύματα να καταγράφονται στις τοποθεσίες εκβιασμών της συμμορίας.





bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση