Χάκερ κλέβουν δεδομένα 45.000 μαθητών της Νέας Υόρκης σε παραβίαση του MOVEit

Το Υπουργείο Παιδείας της Νέας Υόρκης (NYC DOE) λέει ότι οι χάκερ έκλεψαν έγγραφα που περιείχαν ευαίσθητες προσωπικές πληροφορίες έως και 45.000 μαθητών από τον διακομιστή MOVEit Transfer.

Το λογισμικό διαχειριζόμενης μεταφοράς αρχείων (MFT) χρησιμοποιήθηκε από το NYC DOE για την ασφαλή μεταφορά δεδομένων και εγγράφων εσωτερικά και εξωτερικά σε διάφορους προμηθευτές, συμπεριλαμβανομένων των παρόχων υπηρεσιών ειδικής εκπαίδευσης.

Το NYC DOE επιδιορθώνει τους διακομιστές αμέσως μόλις ο προγραμματιστής αποκάλυψε πληροφορίες σχετικά με την ευπάθεια που έγινε αντικείμενο εκμετάλλευσης (CVE-2023-34362). Ωστόσο, οι εισβολείς έκαναν ήδη κατάχρηση του σφάλματος σε επιθέσεις μεγάλης κλίμακας μια ημέρα μηδέν πριν από τη διάθεση των ενημερώσεων ασφαλείας.

Ο επηρεαζόμενος διακομιστής τέθηκε εκτός σύνδεσης μετά την ανακάλυψη της παραβίασης και το NYC DOE συνεργάζεται με την NYC Cyber ​​Command για την αντιμετώπιση του συμβάντος.

“Διεξάγαμε επίσης μια εσωτερική έρευνα, η οποία αποκάλυψε ότι επηρεάστηκαν ορισμένα αρχεία DOE. Η εξέταση των επηρεαζόμενων αρχείων βρίσκεται σε εξέλιξη, αλλά τα προκαταρκτικά αποτελέσματα δείχνουν ότι επηρεάστηκαν περίπου 45.000 φοιτητές, εκτός από το προσωπικό του DOE και τους σχετικούς παρόχους υπηρεσιών.”

είπε η COO της NYC DOE Emma Vadehra

σε ανακοίνωση που εξέδωσε το Σαββατοκύριακο.

“Έγινε πρόσβαση σε περίπου 19.000 έγγραφα χωρίς εξουσιοδότηση. Οι τύποι δεδομένων που επηρεάστηκαν περιλαμβάνουν Αριθμούς Κοινωνικής Ασφάλισης και αριθμούς ταυτότητας υπαλλήλων (όχι απαραίτητα για όλα τα επηρεαζόμενα άτομα. για παράδειγμα, συμπεριλήφθηκαν περίπου 9.000 Αριθμοί Κοινωνικής Ασφάλισης).

«Το FBI διερευνά την ευρύτερη παραβίαση που έχει επηρεάσει εκατοντάδες οντότητες· αυτή τη στιγμή συνεργαζόμαστε τόσο με το NYPD όσο και με το FBI καθώς διερευνούν».

Η συμμορία ransomware Clop ανέλαβε την ευθύνη για τις επιθέσεις CVE-2023-34362 MOVEit Transfer στις 5 Ιουνίου σε μια δήλωση που κοινοποιήθηκε στο BleepingComputer, με τη συμμορία του εγκλήματος στον κυβερνοχώρο να λέει ότι παραβίασε τους διακομιστές MOVEit «εκατοντάδων εταιρειών».

Ο Kroll αποκάλυψε επίσης στοιχεία ότι ο Clop δοκίμαζε ενεργά exploits για το τώρα διορθωμένο MOVEit zero-day από το 2021 και ερευνούσε μεθόδους εξαγωγής δεδομένων από παραβιασμένους διακομιστές τουλάχιστον από τον Απρίλιο του 2022.

Η συμμετοχή του Clop σε αυτήν την εκτεταμένη καμπάνια κλοπής δεδομένων αποτελεί μέρος ενός ευρύτερου σχεδίου στόχευσης πλατφορμών MFT.

Προηγούμενες περιπτώσεις περιλαμβάνουν την παραβίαση των διακομιστών Accellion FTA τον Δεκέμβριο του 2020, των διακομιστών SolarWinds Serv-U το 2021 και την ευρεία εκμετάλλευση των διακομιστών GoAnywhere MFT νωρίτερα φέτος τον Ιανουάριο.

Κλοπ που ήδη εκβιάζουν οργανώσεις που επηρεάζονται

Η συμμορία Clop άρχισε να εκβιάζει οργανισμούς που επηρεάστηκαν από τις επιθέσεις κλοπής δεδομένων MOVEit σχεδόν πριν από δύο εβδομάδες, στις 15 Ιουνίου, δημοσιεύοντας τα ονόματά τους στον ιστότοπο διαρροής δεδομένων του σκοτεινού ιστού του Clop.

Η Shell, το University of Georgia (UGA) και το University System of Georgia (USG), η Heidelberger Druck, η UnitedHealthcare Student Resources (UHSR) και το Landal Greenparks είναι μόνο μερικοί από τους οργανισμούς που επιβεβαίωσαν στο BleepingComputer ότι επηρεάστηκαν.

Άλλα θύματα που έχουν ήδη αποκαλύψει παραβιάσεις που σχετίζονται με τις επιθέσεις MOVEit Transfer περιλαμβάνουν τα

Η πολιτεία του Μιζούρι των ΗΠΑ

ο

Η πολιτεία του Ιλινόις των ΗΠΑ

,

Ζέλλης

(μαζί με τους πελάτες του BBC, Boots, Aer Lingus και HSE της Ιρλανδίας),

Ofcam

ο

κυβέρνηση της Νέας Σκωτίας

ο

Αμερικανικό Συμβούλιο Εσωτερικής Ιατρικής

και

Ακραία Δίκτυα

.

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) αποκάλυψε ότι πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ έχουν επίσης παραβιαστεί, όπως αναφέρει η

CNN

. Ομοσπονδιακό Δίκτυο Ειδήσεων

είπε

Οι επιθέσεις επηρέασαν επίσης δύο οντότητες του Υπουργείου Ενέργειας των ΗΠΑ (DOE).

Η Progress προειδοποίησε τους πελάτες του MOVEit Transfer την περασμένη εβδομάδα να περιορίσουν την πρόσβαση HTTP στους διακομιστές τους μετά τη δημοσίευση πληροφοριών σχετικά με ένα νέο ελάττωμα ασφαλείας SQL injection (SQLi) (CVE-2023-35708).

Αυτή η προειδοποίηση ήρθε μετά από μια άλλη συμβουλευτική αποκάλυψη πολλών άλλων κρίσιμων ευπαθειών έγχυσης SQL που παρακολουθούνται συλλογικά ως CVE-2023-35036.