Modern technology gives us many things.

Η συμμορία ransomware απαριθμεί τα πρώτα θύματα των μαζικών παραβιάσεων του MOVEit, συμπεριλαμβανομένων τραπεζών και πανεπιστημίων των ΗΠΑ

Clop, το ransomware Η συμμορία που είναι υπεύθυνη για την εκμετάλλευση μιας κρίσιμης ευπάθειας ασφαλείας σε ένα δημοφιλές εργαλείο μεταφοράς εταιρικών αρχείων, έχει αρχίσει να καταγράφει τα θύματα των μαζικών εισβολών, συμπεριλαμβανομένων ορισμένων τραπεζών και πανεπιστημίων των ΗΠΑ.

Η συνδεδεμένη με τη Ρωσία συμμορία ransomware εκμεταλλεύεται το ελάττωμα ασφαλείας στο MOVEit Transfer, ένα εργαλείο που χρησιμοποιείται από εταιρείες και επιχειρήσεις για την κοινή χρήση μεγάλων αρχείων μέσω του Διαδικτύου, από τα τέλη Μαΐου. Το Progress Software, το οποίο αναπτύσσει το λογισμικό MOVEit, επιδιορθώνει την ευπάθεια — αλλά όχι πριν οι χάκερ θέσουν σε κίνδυνο ορισμένους πελάτες του.

Ενώ ο ακριβής αριθμός των θυμάτων παραμένει άγνωστος, ο Clop την Τετάρτη απαρίθμησε την πρώτη παρτίδα οργανισμών που λέει ότι χακάρισε εκμεταλλευόμενος το ελάττωμα του MOVEit. Η λίστα θυμάτων, η οποία δημοσιεύτηκε στον ιστότοπο διαρροής του σκοτεινού ιστού του Clop, περιλαμβάνει τους οργανισμούς χρηματοοικονομικών υπηρεσιών 1st Source και First National Bankers Bank με έδρα τις ΗΠΑ. εταιρεία διαχείρισης επενδύσεων Putnam Investments με έδρα τη Βοστώνη. το Landal Greenparks με έδρα την Ολλανδία· και τον ενεργειακό γίγαντα Shell με έδρα το Ηνωμένο Βασίλειο.

Η GreenShield Canada, ένας μη κερδοσκοπικός φορέας παροχών που παρέχει οφέλη για την υγεία και τα οδοντιατρικά οφέλη, καταχωρήθηκε στον ιστότοπο διαρροής, αλλά έκτοτε αφαιρέθηκε.

Άλλα θύματα που αναφέρονται περιλαμβάνουν τον πάροχο χρηματοοικονομικού λογισμικού Datasite. εκπαιδευτικό μη κερδοσκοπικό National Student Clearinghouse. πάροχος ασφάλισης υγείας για φοιτητές United Healthcare Student Resources. Αμερικανός κατασκευαστής Leggett & Platt; Ελβετική ασφαλιστική εταιρεία ÖKK; και το Πανεπιστημιακό Σύστημα της Γεωργίας (USG).

Ένας εκπρόσωπος του USG, ο οποίος δεν έδωσε το όνομά του, είπε στο TechCrunch ότι το πανεπιστήμιο «αξιολογεί το εύρος και τη σοβαρότητα αυτής της πιθανής έκθεσης δεδομένων. Εάν είναι απαραίτητο, σύμφωνα με την ομοσπονδιακή και πολιτειακή νομοθεσία, θα εκδοθούν ειδοποιήσεις σε τυχόν άτομα που επηρεάζονται».

Ο Florian Pitzinger, εκπρόσωπος της γερμανικής εταιρείας μηχανολογίας Heidelberg, την οποία ο Clop κατέταξε ως θύμα, είπε στο TechCrunch σε δήλωση ότι η εταιρεία «γνωρίζει καλά την αναφορά της στον ιστότοπο Tor του Clop και το περιστατικό που συνδέεται με λογισμικό προμηθευτή». Ο εκπρόσωπος πρόσθεσε ότι «το περιστατικό συνέβη πριν από μερικές εβδομάδες, αντιμετωπίστηκε γρήγορα και αποτελεσματικά και με βάση την ανάλυσή μας δεν οδήγησε σε παραβίαση δεδομένων».

Κανένα από τα άλλα θύματα που αναφέρονται στη λίστα δεν έχει απαντήσει ακόμη στις ερωτήσεις του TechCrunch.

Η Clop, η οποία όπως και άλλες συμμορίες ransomware συνήθως επικοινωνεί με τα θύματά της για να απαιτήσει πληρωμή λύτρων για την αποκρυπτογράφηση ή τη διαγραφή των κλεμμένων αρχείων τους, έκανε το ασυνήθιστο βήμα να μην επικοινωνήσει με τους οργανισμούς που είχε χακάρει. Αντίθετα, ένα μήνυμα εκβιασμού που δημοσιεύτηκε στον ιστότοπο διαρροής του σκοτεινού ιστού είπε στα θύματα να επικοινωνήσουν με τη συμμορία πριν από την καταληκτική ημερομηνία της 14ης Ιουνίου.

Δεν έχουν δημοσιευθεί κλεμμένα δεδομένα τη στιγμή της σύνταξης, αλλά ο Clop λέει στα θύματα ότι έχει κατεβάσει «πολλά [sic] των δεδομένων σας.”

Έρχονται νέα θύματα

Πολλοί οργανισμοί έχουν αποκαλύψει στο παρελθόν ότι είχαν παραβιαστεί ως αποτέλεσμα των επιθέσεων, συμπεριλαμβανομένων των BBC, Aer Lingus και British Airways. Όλοι αυτοί οι οργανισμοί επηρεάστηκαν επειδή βασίζονται στον προμηθευτή λογισμικού ανθρώπινου δυναμικού και μισθοδοσίας Zellis, ο οποίος επιβεβαιωμένος ότι το σύστημά του MOVEit είχε παραβιαστεί.

Η κυβέρνηση της Νέας Σκωτίας, η οποία χρησιμοποιεί το MOVEit για να μοιράζεται αρχεία μεταξύ των τμημάτων, επιβεβαίωσε επίσης ότι επηρεάστηκε και είπε σε δήλωση ότι ορισμένες προσωπικές πληροφορίες κάποιων πολιτών μπορεί να έχουν παραβιαστεί. Ωστόσο, σε ένα μήνυμα στον ιστότοπο διαρροής του, ο Clop είπε, «αν είστε κυβέρνηση, πόλη ή αστυνομική υπηρεσία… διαγράψαμε όλα τα δεδομένα σας».

Ενώ η πλήρης έκταση των επιθέσεων παραμένει άγνωστη, νέα θύματα συνεχίζουν να εμφανίζονται.

Πανεπιστήμιο Johns Hopkins αυτή την εβδομάδα επιβεβαιωμένος ένα περιστατικό κυβερνοασφάλειας που πιστεύεται ότι σχετίζεται με το μαζικό χακάρισμα του MOVEit. Σε μια δήλωση, το πανεπιστήμιο είπε ότι η παραβίαση δεδομένων «μπορεί να έχει επηρεάσει ευαίσθητες προσωπικές και οικονομικές πληροφορίες», συμπεριλαμβανομένων των ονομάτων, των στοιχείων επικοινωνίας και των αρχείων τιμολόγησης υγείας.

Η Ofcom, η ρυθμιστική αρχή επικοινωνιών του Ηνωμένου Βασιλείου, είπε επίσης ότι ορισμένες εμπιστευτικές πληροφορίες είχαν παραβιαστεί στο μαζικό χακάρισμα του MOVEit. Σε μία δήλωσηη ρυθμιστική αρχή επιβεβαίωσε ότι οι χάκερ είχαν πρόσβαση σε ορισμένα δεδομένα σχετικά με τις εταιρείες που ελέγχει, μαζί με τα προσωπικά στοιχεία 412 εργαζομένων της Ofcom.

Οι Transport for London (TfL), ο κυβερνητικός φορέας που είναι υπεύθυνος για τη διαχείριση των υπηρεσιών μεταφορών του Λονδίνου, και η παγκόσμια εταιρεία συμβούλων Ernst and Young, επηρεάζονται επίσης, σύμφωνα με BBC News. Κανένας οργανισμός δεν απάντησε στις ερωτήσεις του TechCrunch.

Πολλά περισσότερα θύματα αναμένεται να αποκαλυφθούν τις επόμενες ημέρες και εβδομάδες, με χιλιάδες διακομιστές MOVEit —οι περισσότεροι που βρίσκονται στις Ηνωμένες Πολιτείες— να είναι ακόμη ανιχνεύσιμοι στο Διαδίκτυο.

Οι ερευνητές αναφέρουν επίσης ότι ο Clop μπορεί να εκμεταλλευόταν την ευπάθεια MOVEit ήδη από το 2021. Η αμερικανική εταιρεία συμβούλων κινδύνου Kroll είπε σε μια κανω ΑΝΑΦΟΡΑ ότι ενώ η ευπάθεια ήρθε στο φως μόλις στα τέλη Μαΐου, οι ερευνητές της εντόπισαν δραστηριότητα που δείχνει ότι ο Clop πειραματιζόταν με τρόπους εκμετάλλευσης αυτής της συγκεκριμένης ευπάθειας για σχεδόν δύο χρόνια.

«Αυτό το εύρημα απεικονίζει την εξελιγμένη γνώση και τον σχεδιασμό που αφορούν γεγονότα μαζικής εκμετάλλευσης, όπως η κυβερνοεπίθεση MOVEit Transfer», δήλωσαν οι ερευνητές του Kroll.

Ο Clop ήταν επίσης υπεύθυνος για προηγούμενες μαζικές επιθέσεις που εκμεταλλεύονταν ελαττώματα στο εργαλείο μεταφοράς αρχείων GoAnywhere της Fortra και στην εφαρμογή μεταφοράς αρχείων της Accellion.



techcrunch.com

Follow TechWar.gr on Google News

Απάντηση