Son birkaç gün içinde en az üç yeni kurbanın gün ışığına çıkmasıyla birlikte, yaygın olarak kullanılan bir dosya aktarım programında kritik bir güvenlik açığının kitlesel olarak kullanılmasının dramatik sonuçları devam ediyor. New York Şehri Eğitim Bakanlığı ve enerji şirketleri Schneider Electric ve Siemens Electric’i içerir.
Antivirüs şirketi Emsisoft’ta tehdit analisti olan Brett Callow, bir röportajda, suç örgütünün yayınladığı gönderilere veya kurbanların ifşalarına dayanarak, bilgisayar korsanlığı çılgınlığının bugüne kadar 122 kuruluşu ihlal ettiğini ve yaklaşık 15 milyon kişinin verilerini ele geçirdiğini söyledi. .
Microsoft, saldırıları Rusça konuşan bir fidye yazılımı sendikası olan Clop’a bağladı. Saldırıların tümü, Clop’un hem bulut hem de şirket içi tekliflerde bulunan bir dosya aktarım hizmeti olan MOVEit’teki sıfır günlük bir güvenlik açığından yararlanmasının sonucudur.
İstismar çılgınlığının ilk işaretleri 27 Mayıs’ta görüldü. Dört gün sonra MOVEit sağlayıcısı Progress, CVE-2023-34362 olarak izlenen güvenlik açığını yamaladı. Sıfır gün, bir SQL enjeksiyonundan kaynaklandı. Bunlar, güvenlik açığının en eski biçimleri arasındadır ve önlenebilir olan kötü kodlama uygulamalarının sonucudur. Progress düzeltmeyi yayınladıktan sonra bile, bazı MOVEit kullanıcıları henüz ağlarına yüklemedikleri için saldırıya uğramaya devam ettiler.
İlk teyit edilen kurbanlar arasında maaş bordrosu Zellis ve Kanada’nın Nova Scotia eyaleti vardı. Zellis müşterileri British Airways, BBC, Aer Lingus, İrlandalı HSE ve Birleşik Krallık perakendecisi Boots’un bordro hizmetinin ihlali yoluyla verilerinin çalındığı biliniyordu. İki Enerji Bakanlığı kuruluşu, ABD’nin Missouri ve Illinois eyaletleri, Amerikan Eğitim Kurulu Extreme Networks ve Ofcam dahil olmak üzere diğer kurbanlar kısa süre sonra gün ışığına çıktı.
Saldırılarda milyonlarca Oregon ve Louisiana vatandaşının ehliyet verileri de çalındı. CNN, Tarım Bakanlığı’nın da etkilenebileceğini bildirdi.
Ayakkabılar düşmeye devam ediyor
Salı günü, Clop sitesi Siemens Electric’i başka bir kurban olarak gösterdi ve bundan kısa bir süre sonra, şirket yetkilileri sistemlerinin Clop kampanyasında ihlal edildiğini doğruladıkları geniş çapta bildirildi.
Cyberscoop da dahil olmak üzere bir Siemens Electric temsilcisi, “Mevcut analize göre, hiçbir kritik veri tehlikeye atılmadı ve operasyonlarımız etkilenmedi” dedi. Olayı öğrendiğimizde hemen harekete geçtik” dedi. Ars’ın Siemens Electric’e ulaşma girişimleri başarısız oldu.
Clop, Schneider Electric’i başka bir kurban olarak adlandırdı. Bir Schneider Electric yetkilisi bir e-postada şunları yazdı: “30 Mayıs 2023’te Schneider Electric, Progress MOVEit Transfer yazılımını etkileyen güvenlik açıklarının farkına vardı. Verileri ve altyapıyı güvence altına almak için mevcut azaltıcı önlemleri derhal devreye aldık ve durumu yakından izlemeye devam ettik.”
Cumartesi akşamı, New York Şehri Eğitim Bakanlığı başkanı onun da Clop kampanyasında vurulduğunu söylemek için öne çıktı.
Bölümün işletme müdürü Emma Vadehra, “Etkilenen dosyaların incelenmesi devam ediyor, ancak ön sonuçlar DOE personeli ve ilgili hizmet sağlayıcılara ek olarak yaklaşık 45.000 öğrencinin etkilendiğini gösteriyor” diye yazdı. “Yaklaşık 19.000 belgeye yetkisiz erişim sağlandı. Etkilenen veri türleri, Sosyal Güvenlik Numaralarını ve çalışan kimlik numaralarını içerir (etkilenen tüm bireyler için zorunlu değildir; örneğin, yaklaşık 9.000 Sosyal Güvenlik Numarası dahil edilmiştir).
Clop, en üretken ve aktif fidye yazılımı aktörleri arasında yer alan Rusça konuşan bir gruptur. Tehdit aktörü yakın zamanda, GoAnywhere olarak bilinen farklı bir dosya aktarım hizmetindeki kritik bir güvenlik açığı olan CVE-2023-0669’dan toplu olarak yararlandı. Bu bilgisayar korsanlığı çılgınlığı, veri güvenliği şirketi Rubrik ve Franklin, Tennessee’deki Community Health Systems dahil olmak üzere 100’den fazla kuruluşu da ele geçirdi. En büyük hastane zincirlerinden biri olan Community Health Systems’ın hacklenmesi, Clop’un 1 milyon hastanın sağlık bilgilerini ele geçirmesini sağladı.