Η συμμορία Clop ransomware αρχίζει να εκβιάζει τα θύματα κλοπής δεδομένων του MOVEit
Related Posts
Η συμμορία
ransomware
Clop άρχισε να εκβιάζει εταιρείες που επηρεάστηκαν από τις επιθέσεις κλοπής δεδομένων MOVEit, αναφέροντας πρώτα τα ονόματα της εταιρείας σε έναν ιστότοπο διαρροής δεδομένων – μια συχνά χρησιμοποιούμενη τακτική πριν από τη δημόσια αποκάλυψη κλεμμένων πληροφοριών
Αυτές οι εγγραφές έρχονται μετά την εκμετάλλευση μιας ευπάθειας zero-day στην πλατφόρμα ασφαλούς μεταφοράς αρχείων MOVEit Transfer από τους φορείς απειλών στις 27 Μαΐου για να κλέψουν αρχεία που είναι αποθηκευμένα στον διακομιστή.
Η συμμορία Clop ανέλαβε την ευθύνη για τις επιθέσεις, ισχυριζόμενη ότι παραβίασε “εκατοντάδες εταιρείες” και προειδοποιώντας ότι τα ονόματά τους θα προστεθούν σε έναν ιστότοπο διαρροής δεδομένων στις 14 Ιουνίου, εάν δεν πραγματοποιηθούν διαπραγματεύσεις.
Εάν δεν πληρωθεί μια απαίτηση εκβίασης, οι παράγοντες της απειλής λένε ότι θα αρχίσουν να διαρρέουν κλεμμένα δεδομένα στις 21 Ιουνίου.
Ο Κλοπ αρχίζει να εκβιάζει εταιρείες
Χθες, οι παράγοντες της απειλής Clop κατέθεσαν δεκατρείς εταιρείες στον ιστότοπο διαρροής δεδομένων τους, αλλά δεν δήλωσαν εάν σχετίζονται με τις επιθέσεις MOVEit Transfer ή αν ήταν επιθέσεις κρυπτογράφησης ransomware.
Έκτοτε, μια από τις εταιρείες, η Greenfield CA, έχει αφαιρεθεί, υποδεικνύοντας ότι η εισαγωγή ήταν είτε λάθος είτε διεξάγονται διαπραγματεύσεις.
Πέντε από τις εισηγμένες εταιρείες, η βρετανική πολυεθνική εταιρεία πετρελαίου και φυσικού αερίου Shell, UnitedHealthcare Student Resources (UHSR), University of Georgia (UGA) και University System of Georgia (USG), Heidelberger Druck και Landal Greenparks, επιβεβαίωσαν έκτοτε στο BleepingComputer ότι επηρεάστηκαν σε διάφορους βαθμούς από τις επιθέσεις MOVEit.
Η Shell είπε ότι μόνο ένας μικρός αριθμός εργαζομένων και πελατών επηρεάστηκαν και ο Landal είπε στο BleepingComputer ότι οι παράγοντες της απειλής είχαν πρόσβαση στα ονόματα και τα στοιχεία επικοινωνίας για περίπου 12.000 επισκέπτες.
Το Πανεπιστημιακό Σύστημα της Τζόρτζια, το Πανεπιστήμιο της Τζόρτζια και η UnitedHealthcare Student Resources είπαν στην BleepingComputer ότι εξακολουθούν να ερευνούν την επίθεση και θα αποκαλύψουν τυχόν παραβιάσεις εάν ανακαλυφθούν.
Η γερμανική εταιρεία εκτύπωσης Heidelberger Druck είπε στην BleepingComputer ότι ενώ χρησιμοποιούν το MOVEit Transfer, η ανάλυσή της δείχνει ότι δεν οδήγησε σε παραβίαση δεδομένων.
Η Putnam Investments, η οποία είναι επίσης εισηγμένη στον ιστότοπο διαρροής δεδομένων της Clop, είπε στο BleepingComputer ότι εξετάζουν το θέμα.
Ενώ οι άλλες εταιρείες που αναφέρονται στον ιστότοπο του Clop δεν έχουν απαντήσει στα email μας, ο ερευνητής ασφάλειας της Macnica
Yutaka Sejiyama
κοινοποιήθηκαν δεδομένα με το BleepingComputer επιβεβαιώνοντας ότι χρησιμοποιούν αυτήν τη στιγμή την πλατφόρμα MOVEit Transfer ή ότι το έχουν κάνει στο παρελθόν.
Έχουν ήδη αποκαλυφθεί παραβιάσεις δεδομένων
Άλλοι οργανισμοί που έχουν ήδη αποκαλύψει παραβιάσεις του MOVEit Transfer περιλαμβάνουν:
Ζέλλης
(BBC, Boots και Aer Lingus,
HSE της Ιρλανδίας
μέσω Zellis), το Πανεπιστήμιο του Rochester, το
κυβέρνηση της Νέας Σκωτίας
ο
Η πολιτεία του Μιζούρι των ΗΠΑ
ο
Η πολιτεία του Ιλινόις των ΗΠΑ
,
ΓΕΝΝΗΘΗΚΕ Οντάριο
,
Ofcam
,
Ακραία Δίκτυα
και το
Αμερικανικό Συμβούλιο Εσωτερικής Ιατρικής
.
Σε παρόμοιες επιθέσεις στο παρελθόν χρησιμοποιώντας ευπάθειες zero-day σε επιθέσεις διαχείρισης μεταφοράς αρχείων Accellion FTA, GoAnywhere MFT και SolarWinds Serv-U, οι φορείς απειλών ζήτησαν λύτρα 10 εκατομμυρίων δολαρίων για να αποτρέψουν τη διαρροή δεδομένων.
Η BleepingComputer έμαθε ότι η επιχείρηση εκβιασμού δεν ήταν πολύ επιτυχημένη στις προσπάθειες εκβιασμού του GoAnywhere, με τις εταιρείες να προτιμούν να αποκαλύπτουν παραβιάσεις δεδομένων αντί να πληρώνουν λύτρα.
