MOVEit veri ihlalinin manşetlere çıkmasından birkaç gün sonra, şimdi olaydan etkilenen farklı şirketlerin raporlarını alıyoruz. Bir BBC haberine göre, etkilenenler arasında British Airways, Boots, Aer Lingus ve Zellis’in yanı sıra medya devi de yer alıyor.
MOVEit Transfer, Progress adlı bir şirketin yan kuruluşu olan Ipswitch tarafından oluşturulmuş bir yönetilen dosya aktarımı (MFT) çözümüdür. Şirketler genellikle finansal veriler, kişisel olarak tanımlanabilir bilgiler ve daha fazlası gibi hassas dosyaları güvenli bir şekilde aktarmak için bu tür yazılımları kullanır.
Geçen Cuma şirket, “kritik” bir güvenlik açığının keşfedildiğini doğruladı ve kullanıcılarını resmi bir yama beklentisiyle derhal bir geçici çözüm uygulamaya çağırdı.
Etkilenen personeli bilgilendirmek
Şimdi, BBC’ye göre, ihlalde çalınan veriler, etkilenen yazılım kullanıcısına bağlı olarak ulusal sigorta numaralarının yanı sıra banka bilgilerini de içeriyor. BBC için, bilgisayar korsanları ulusal sigorta numaralarının yanı sıra personel kimlik numaralarını, doğum tarihlerini ve posta adreslerini de ele geçirdiler.
British Airways, personelini bazılarının banka bilgilerinin çalınmış olabileceği konusunda uyarıyor. Bir bordro hizmeti sağlayıcısı olan Zellis, sekiz müşterisinin verilerinin ele geçirildiğini ve bu dosyaların niteliğini açıklamasa da her müşterinin personelini bilgilendirdiğini söyledi.
Henüz hiçbir tehdit unsuru saldırının sorumluluğunu üstlenmedi veya veriler karşılığında fidye talep etmedi. Ancak Microsoft, olayın arkasında Clop olarak bilinen tehdit aktörünün olduğuna inandığını söylüyor. Clop, GoAnywhere MFT’yi başarılı bir şekilde ele geçirdikten sonra son zamanlarda kötü şöhret kazanan Rusya bağlantılı bir tehdit aktörüdür.
GoAnywhere, hassas dosyaları uç noktalar arasında güvenli bir şekilde aktarmak için sayısız şirket tarafından kullanılan başka bir güvenli yönetilen dosya aktarım çözümüdür. Hitachi Energy, Hatch Bank, Health Systems, Investissement Quebec, Rubrik, AvicXchange, Saks Fifth Avenue, Galderma ve diğerleri dahil olmak üzere çok sayıda yüksek profilli kuruluş GoAnywhere ihlalinden etkilendi.
Baş araştırma ve geliştirme sorumlusu Alexander Heid, “BBC ve British Airways (BA) gibi kuruluşlar için bir bordro sağlayıcısı olan Zellis’teki son siber ihlal, kapsamlı üçüncü taraf risk yönetiminin günümüz dijital çağında oynadığı kritik rolün altını çiziyor” dedi. siber güvenlik derecelendirmeleri ve risk yönetimi şirketi SecurityScorecard ile.
“Bu istismar, saldırganların sunucu veritabanıyla etkileşime girmesine, okuma/yazma izinlerini manipüle etmesine ve nihayetinde rasgele kod yürütme yoluyla kontrolü ele geçirmesine olanak tanıyan SQL enjeksiyonundan yararlanıyor” diye ekledi.
Heid’e göre, araştırmacılar orada binlerce açıkta sunucu buldu. “Araştırma ayrıca 790 kuruluşta 2.500’den fazla açığa çıkmış MOVEit sunucusunu ortaya çıkardı ve bunların birkaç yüzü belirli güvenlik açığını sergiledi. Aktif taramanın ve güvenlik açığından yararlanma girişimlerinin en az 29 Mart 2023’e kadar sürdüğünü, bu da Zellis için veri hırsızlığının başladığı tarihtir.”
Aracılığıyla: BBC