Clop, fidye yazılımı Popüler bir kurumsal dosya aktarım aracındaki kritik bir güvenlik açığından yararlanmaktan sorumlu çete, bir dizi ABD bankası ve üniversitesi de dahil olmak üzere toplu saldırıların kurbanlarını listelemeye başladı.
Rusya bağlantılı fidye yazılımı çetesi, Mayıs sonundan bu yana şirketler ve işletmeler tarafından internet üzerinden büyük dosyaları paylaşmak için kullanılan bir araç olan MOVEit Transfer’deki güvenlik açığından yararlanıyor. MOVEit yazılımını geliştiren Progress Software güvenlik açığını düzeltti – ancak bilgisayar korsanları bazı müşterilerinin güvenliğini tehlikeye atmadan önce değil.
Kesin kurban sayısı bilinmemekle birlikte, Çarşamba günü Clop, MOVEit açığından yararlanarak hacklendiğini söylediği ilk kuruluş grubunu listeledi. Clop’un karanlık web sızıntı sitesinde yayınlanan kurban listesi, ABD merkezli finansal hizmetler kuruluşları 1st Source ve First National Bankers Bank’ı; Boston merkezli yatırım yönetimi şirketi Putnam Investments; Hollanda merkezli Landal Greenparks; ve İngiltere merkezli enerji devi Shell.
Sağlık ve dişle ilgili yardımlar sağlayan, kar amacı gütmeyen bir sosyal yardım taşıyıcısı olan GreenShield Canada, sızıntı sitesinde listelendi ancak o zamandan beri kaldırıldı.
Listelenen diğer kurbanlar arasında finansal yazılım sağlayıcısı Datasite; eğitim amaçlı kar amacı gütmeyen Ulusal Öğrenci Takas Merkezi; öğrenci sağlık sigortası sağlayıcısı United Healthcare Student Resources; Amerikalı üretici Leggett & Platt; İsviçre sigorta şirketi ÖKK; ve Georgia Üniversite Sistemi (USG).
Adını vermeyen bir USG sözcüsü, TechCrunch’a üniversitenin “bu potansiyel veri ifşasının kapsamını ve ciddiyetini değerlendirdiğini” söyledi. Gerekirse, federal ve eyalet yasalarına uygun olarak, etkilenen herhangi bir kişiye bildirimde bulunulacaktır.
Clop’un kurban olarak listelediği Alman makine mühendisliği şirketi Heidelberg’in sözcüsü Florian Pitzinger, TechCrunch’a yaptığı açıklamada şirketin “Clop’un Tor web sitesinde bahsedildiğinin ve bir tedarikçi yazılımıyla bağlantılı olayın gayet iyi farkında olduğunu” söyledi. Sözcü, “olaya birkaç hafta önce meydana geldi, hızlı ve etkili bir şekilde karşılık verildi ve analizimize göre herhangi bir veri ihlaline yol açmadı” dedi.
Listelenen diğer kurbanların hiçbiri henüz TechCrunch’ın sorularına yanıt vermedi.
Diğer fidye yazılımı çeteleri gibi, çalınan dosyalarının şifresini çözmek veya silmek için fidye ödemesi talep etmek üzere genellikle kurbanlarıyla iletişime geçen Clop, alışılmadık bir adım atarak hacklediği kuruluşlarla iletişime geçmedi. Bunun yerine, karanlık web sızıntı sitesinde yayınlanan bir şantaj mesajı, kurbanlara çeteyle son tarih olan 14 Haziran’dan önce iletişime geçmelerini söyledi.
Bu yazının yazıldığı sırada çalınan herhangi bir veri yayınlanmadı, ancak Clop kurbanlara “çok fazla dosya indirdiğini” söylüyor. [sic] Verilerinizden.
Yeni kurbanlar öne çıkıyor
BBC, Aer Lingus ve British Airways dahil olmak üzere çok sayıda kuruluş daha önce saldırılar sonucunda ele geçirildiklerini açıklamıştı. Bu kuruluşların tümü, İK ve bordro yazılımı tedarikçisi Zellis’e güvendikleri için etkilendi. onaylanmış MOVEit sisteminin güvenliğinin ihlal edildiğini.
MOVEit’i departmanlar arasında dosya paylaşmak için kullanan Nova Scotia Hükümeti de etkilendiğini doğruladı ve şunları söyledi: Bir açıklamada bazı vatandaşların kişisel bilgilerinin ele geçirilmiş olabileceği. Ancak Clop, sızdırdığı sitedeki bir mesajda, “Hükümet, belediye veya polis teşkilatıysanız… tüm verilerinizi sildik” dedi.
Saldırıların tam boyutu bilinmezken, yeni kurbanlar gelmeye devam ediyor.
Johns Hopkins Üniversitesi bu hafta onaylanmış MOVEit toplu hacklemesiyle ilgili olduğuna inanılan bir siber güvenlik olayı. Üniversite yaptığı açıklamada, veri ihlalinin isimler, iletişim bilgileri ve sağlık fatura kayıtları dahil olmak üzere “hassas kişisel ve finansal bilgileri etkilemiş olabileceğini” söyledi.
Birleşik Krallık’ın iletişim düzenleyicisi Ofcom da MOVEit toplu hacklemesinde bazı gizli bilgilerin ele geçirildiğini söyledi. İçinde Bir deyimdüzenleyici, bilgisayar korsanlarının düzenlediği şirketlerle ilgili bazı verilere ve 412 Ofcom çalışanının kişisel bilgilerine eriştiğini doğruladı.
Londra’nın ulaşım hizmetlerini yürütmekten sorumlu hükümet organı olan Transport for London (TfL) ve küresel danışmanlık firması Ernst and Young da etkilendi. BBC haberleri. TechCrunch’ın sorularına hiçbir kuruluş yanıt vermedi.
Çoğu Amerika Birleşik Devletleri’nde bulunan binlerce MOVEit sunucusuyla birlikte, önümüzdeki günlerde ve haftalarda daha birçok kurbanın ortaya çıkması bekleniyor.
Araştırmacılar ayrıca Clop’un MOVEit güvenlik açığından 2021 yılına kadar yararlanmış olabileceğini bildirdi. Amerikan risk danışmanlığı şirketi Kroll, yaptığı açıklamada rapor güvenlik açığı ancak Mayıs ayı sonunda ortaya çıkmış olsa da, araştırmacıları, Clop’un neredeyse iki yıldır bu güvenlik açığından yararlanmanın yollarını denediğini gösteren bir etkinlik belirledi.
Kroll araştırmacıları, “Bu bulgu, MOVEit Transfer siber saldırısı gibi toplu istismar olaylarına giren karmaşık bilgi ve planlamayı gösteriyor” dedi.
Clop, Fortra’nın GoAnywhere dosya aktarım aracı ve Accellion’ın dosya aktarım uygulamasındaki kusurları kullanan önceki toplu saldırılardan da sorumluydu.