Modern technology gives us many things.

Το Clop ransomware αναλαμβάνει την ευθύνη για επιθέσεις εκβιασμού του MOVEit

Η συμμορία ransomware Clop είπε στην BleepingComputer ότι βρίσκεται πίσω από τις επιθέσεις κλοπής δεδομένων MOVEit Transfer, όπου μια ευπάθεια zero-day εκμεταλλεύτηκε για να παραβιάσει τους διακομιστές πολλών εταιρειών και να κλέψει δεδομένα.

Αυτό επιβεβαιώνει την απόδοση της Microsoft το βράδυ της Κυριακής στην ομάδα hacking που παρακολουθεί ως “Lace Tempast”, επίσης γνωστή ως TA505 και FIN11.

Ο εκπρόσωπος του Clop επιβεβαίωσε περαιτέρω ότι άρχισαν να εκμεταλλεύονται την ευπάθεια στις 27 Μαΐου, κατά τη διάρκεια της μεγάλης αργίας της Ημέρας Μνήμης των ΗΠΑ, όπως είχε αποκαλύψει προηγουμένως η Mandiant.

Η διεξαγωγή επιθέσεων κατά τη διάρκεια των εορτών είναι μια κοινή τακτική για τη λειτουργία ransomware Clop, η οποία στο παρελθόν είχε αναλάβει επιθέσεις εκμετάλλευσης μεγάλης κλίμακας κατά τη διάρκεια των διακοπών, όταν το προσωπικό είναι στο ελάχιστο.

Για παράδειγμα, εκμεταλλεύτηκαν μια παρόμοια ευπάθεια Accellion FTA zero-day στις 23 Δεκεμβρίου 2020, για να κλέψουν δεδομένα ακριβώς στην αρχή των εορτών των Χριστουγέννων.

Αν και ο Clop δεν κοινοποιούσε τον αριθμό των οργανισμών που παραβιάστηκαν στις επιθέσεις MOVEit Transfer, είπαν ότι τα θύματα θα εμφανίζονταν στον ιστότοπο διαρροής δεδομένων τους εάν δεν καταβάλλονταν λύτρα.

Επιπλέον, η συμμορία ransomware επιβεβαίωσε ότι δεν έχει αρχίσει να εκβιάζει θύματα, χρησιμοποιώντας πιθανότατα τον χρόνο για να εξετάσει τα δεδομένα και να καθορίσει τι είναι πολύτιμο και πώς θα μπορούσε να χρησιμοποιηθεί για να αξιοποιήσει τη ζήτηση λύτρων από εταιρείες που παραβιάστηκαν.

Στις πρόσφατες επιθέσεις της συμμορίας στο GoAnywhere MFT, ο Clop περίμενε πάνω από ένα μήνα για να στείλει με email αιτήματα για λύτρα σε οργανισμούς.

Τελικά, και χωρίς προτροπή, η συμμορία ransomware είπε στο BleepingComputer ότι είχαν διαγράψει τυχόν δεδομένα που είχαν κλαπεί από κυβερνήσεις, στρατό και παιδικά νοσοκομεία κατά τη διάρκεια αυτών των επιθέσεων.

«Θέλω να σας πω αμέσως ότι ο στρατός, τα παιδικά νοσοκομεία, το GOV κ.λπ. μας αρέσει να μην επιτίθενται και τα δεδομένα τους διαγράφηκαν», είπε ο Clop στο email τους στο BleepingComputer.

Το BleepingComputer δεν έχει τρόπο να επιβεβαιώσει εάν αυτοί οι ισχυρισμοί είναι ακριβείς και, όπως κάθε επίθεση κλοπής δεδομένων, όλοι οι επηρεαζόμενοι οργανισμοί θα πρέπει να το αντιμετωπίζουν σαν να κινδυνεύουν τα δεδομένα για κατάχρηση.

Ενώ το Clop ξεκίνησε ως λειτουργία ransomware, η ομάδα είπε προηγουμένως στο BleepingComputer ότι απομακρύνεται από την κρυπτογράφηση και προτιμά τον εκβιασμό με κλοπή δεδομένων.

Εμφανίζονται τα πρώτα θύματα

Είδαμε επίσης τις πρώτες μας αποκαλύψεις από οργανισμούς που παραβιάστηκαν στις επιθέσεις κλοπής δεδομένων MOVEit του Clop.

Η εταιρεία παροχής λύσεων μισθοδοσίας και ανθρώπινου δυναμικού στο Ηνωμένο Βασίλειο, Zellis, επιβεβαίωσε ότι υπέστη παραβίαση δεδομένων λόγω αυτών των επιθέσεων, η οποία επηρέασε επίσης ορισμένους από τους πελάτες της.

«Ένας μεγάλος αριθμός εταιρειών σε όλο τον κόσμο έχουν επηρεαστεί από μια ευπάθεια zero-day στο προϊόν MOVEit Transfer της Progress Software», είπε ο Zellis στην BleepingComputer σε δήλωση.

“Μπορούμε να επιβεβαιώσουμε ότι ένας μικρός αριθμός πελατών μας έχει επηρεαστεί από αυτό το παγκόσμιο ζήτημα και εργαζόμαστε ενεργά για να τους υποστηρίξουμε. Όλο το λογισμικό που ανήκει στη Zellis δεν επηρεάζεται και δεν υπάρχουν συσχετισμένα περιστατικά ή συμβιβασμούς σε οποιοδήποτε άλλο τμήμα της περιουσίας πληροφορικής μας .”

“Μόλις αντιληφθήκαμε αυτό το περιστατικό, λάβαμε άμεσα μέτρα, αποσυνδέοντας τον διακομιστή που χρησιμοποιεί το λογισμικό MOVEit και δεσμεύοντας μια ομάδα εμπειρογνωμόνων εξωτερικής αντιμετώπισης περιστατικών ασφαλείας για να βοηθήσει με την εγκληματολογική ανάλυση και τη συνεχή παρακολούθηση. Έχουμε επίσης ειδοποιήσει το ICO, το DPC και το NCSC τόσο στο Ηνωμένο Βασίλειο όσο και στην Ιρλανδία».

Η Aer Lingus επιβεβαίωσε στο BleepingComputer ότι υπέστη παραβίαση μέσω του συμβιβασμού του Zellis MOVEit.

«Ωστόσο, επιβεβαιώθηκε ότι κανένα οικονομικό ή τραπεζικό στοιχείο που να σχετίζεται με νυν ή πρώην υπαλλήλους της Aer Lingus δεν διακυβεύτηκε σε αυτό το περιστατικό», αναφέρεται σε δήλωση της Aer Lingus.

«Επιβεβαιώθηκε επίσης ότι δεν παραβιάστηκαν στοιχεία τηλεφωνικής επικοινωνίας που να σχετίζονται με νυν ή πρώην υπαλλήλους της Aer Lingus».

Οπως και αναφέρει το The Recordη British Airways επιβεβαίωσε επίσης ότι η παραβίαση της Zellis τις επηρέασε.

Δυστυχώς, όπως είδαμε με προηγούμενες επιθέσεις Clop σε πλατφόρμες διαχειριζόμενης μεταφοράς αρχείων, πιθανότατα θα δούμε μια μακρά ροή εταιρικών αποκαλύψεων όσο περνάει ο καιρός.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση