Se pare că grupul de ransomware Cl0p s-a aflat pe o vulnerabilitate de zi zero pe care a descoperit-o în aplicația de transfer de fișiere MOVEit Transfer de la Progress Software timp de aproape doi ani înainte de a începe să o exploateze - ceea ce a făcut cu un efect devastator la începutul acestei luni.
În acea perioadă de deținere, membrii grupului au lansat periodic valuri de activități rău intenționate împotriva sistemelor vulnerabile pentru a le testa accesul la organizații și pentru a le identifica pe cele vizate.
„Analogia pe care am folosit-o este să rotesc clanța ușii, să văd că se învârte, apoi să plec știind că pot să mă întorc mai târziu, să deschid ușa și să trec prin ea”, spune Scott Downie, director asociat la Kroll's Cyber Risk Business. „De asemenea, poate fi interpretat ca ele identificând ținte potențiale”, spune el.
Experimentare cu o exploatare MOVEit timp de aproape 2 ani
Cercetătorii de la Kroll Threat Intelligence, care au investigat recentele atacuri, au găsit dovezi care arată actori Cl0P experimentând modalități de exploatare a vulnerabilității MOVEit Transfer încă din iulie 2021. Revizuirea de către Kroll a jurnalelor Microsoft Internet Information Services (IIS). aparținând clienților afectați de atacuri au scos la iveală dovezi că actorii amenințărilor au desfășurat activități similare în aprilie 2022 și de două ori luna trecută, cu doar câteva zile înainte de atacuri.
Telemetria sugerează că actorii amenințărilor testau accesul la clienți vulnerabili MOVEit Transfer și încercau să recupereze informații care i-ar putea ajuta să identifice organizațiile în care a fost instalat. O mare parte din activitatea rău intenționată de recunoaștere și testare din primele etape – în iulie 2021 – pare să fi fost de natură manuală. Dar, începând cu aprilie 2022, actorii Cl0p au început să folosească un mecanism automat pentru a sonda mai multe organizații în același timp și pentru a colecta informații de la acestea.
Ultima activitate de testare – înainte de începerea exploatării în masă – a fost în luna mai și a părut concepută pentru a extrage identificatorul unic „Org ID” asociat fiecărui utilizator MOVEit Transfer. Informațiile i-ar fi putut ajuta pe atacatori să clasifice organizațiile pe care le puteau accesa, a spus Kroll. Analiza companiei cu privire la adresele IP asociate cu activitatea rău intenționată a arătat că acestea se află în Rusia și Țările de Jos, spune Downie.
„CVE-2023-34362 este un proces de exploatare în mai multe etape”, notează Downie. „Această activitate este în concordanță cu prima etapă a CVE-2023-34362.”
CVE-2023-34362: De ce să nu trageți declanșatorul Zero-Day?
Kroll a concluzionat cu un grad ridicat de încredere că actorii Cl0P au avut o exploatare de lucru pentru vulnerabilitatea MOVEit încă din iulie 2021. Dar grupul probabil a ales să stea pe ea timp de doi ani din câteva motive, teoretizează Laurie Iacono, directorul asociat asociat, Afaceri cu risc cibernetic la Kroll.
În 2021, același actor de amenințare a exploatat încă un alt transfer de fișiere zero-day pe care l-a descoperit, de data aceasta în Dispozitivul de transfer de fișiere Accellion. Pentru restul anului 2021 și începutul lui 2022, Cl0p a fost foarte activ în legătură cu încălcarea Accelion FTA. Deci, probabil că avea deja mâinile pline.
Site-ul actorului amenințător a fost atunci destul de inactiv în mare parte a anului 2022 și poate chiar să fi deturnat activitățile de la extorcare pentru o perioadă, posibil în legătură cu arestări ale membrilor Cl0p în 2021, spune Iacono. Conflictul Ucraina/Rusia, care a încetinit activitatea generală a ransomware-ului la începutul anului până la jumătatea anului 2022, ar putea fi, de asemenea, un factor, spune ea.
„Cl0p a fost inițial clasificat ca FIN11 [și a fost] cunoscut pentru atacurile malware POS, etc.”, spune Iacono. „Au intrat în jocul ransomware în timpul „boom-ului” din 2020/2021. Dar este de părere că grupul lor are un portofoliu diversificat de servicii de criminalitate cibernetică pe care le folosește, nu doar extorcare de ransomware.”
Ce știm despre atacurile MOVEit
Ca fundal, rapoartele furnizorilor privind activitatea de atac care vizează o vulnerabilitate de injectare SQL în MOVEit Transfer au început să apară la 1 iunie. Cercetătorii de la Mandiant și alți furnizori care a investigat atacurile a găsit actorul amenințării exploatând defectul pentru a fura date de la clienții aplicației Progress Software. Unii au presupus – corect – că atacurile și furtul de date au fost un precursor al cererilor de răscumpărare.
Pe 4 iunie, Microsoft atribuit atacurile grupului de ransomware Cl0P (pe care compania îl urmărește ca „Lace Tempest” și despre care se știe că este legat de grupul de amenințare TA505), pe măsură ce primele rapoarte ale organizațiilor victimizate de atacuri au început să apară. Până acum, lista a au inclus BBC, British Airways și guvernul Noii Scoții. Cl0p însuși a făcut sute de victime. Agenția SUA pentru Securitate Cibernetică și Securitate Informațională pe 7 iunie a avertizat cu privire la un impact potențial larg răspândit: „Datorită vitezei și ușurinței cu care TA505 a exploatat această vulnerabilitate și pe baza campaniilor lor anterioare, FBI și CISA se așteaptă să vadă o exploatare pe scară largă a serviciilor software nepatchate în rețelele private și publice.”
MOVEit este o aplicație de transfer de fișiere gestionată pe care mii de organizații, inclusiv giganți precum Disney, Chase, GEICO și agențiile federale din SUA, o folosesc pentru a transfera date sensibile și fișiere mari. Astfel de aplicații au devenit o țintă populară pentru atacatori datorită accesului pe care îl oferă la tipul de date pentru care organizațiile sunt probabil dispuse să le plătească, pentru a preveni scurgerea acestora sau blocarea într-un atac ransomware.
Atacurile de transfer de fișiere sunt fierbinți pentru acest grup: pe lângă MOVEit și Accelion, actorii amenințărilor Cl0p au exploatat în februarie un defect zero-day în Fortra GoAnywhere MFT pentru a extorca clienții produsului de transfer de fișiere gestionat.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- EVM Finance. Interfață unificată pentru finanțare descentralizată. Accesați Aici.
- Grupul Quantum Media. IR/PR amplificat. Accesați Aici.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/attacks-breaches/cl0p-gang-exploit-moveit-flaw-2-years
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 2021
- 2022
- 7
- a
- Despre Noi
- acces
- activ
- activităţi de
- activitate
- actori
- plus
- adrese
- împotriva
- Agențiile
- agenție
- Airways
- deja
- de asemenea
- an
- analiză
- și
- O alta
- aplicaţia
- a apărut
- apare
- Apps
- Aprilie
- SUNT
- AS
- Avocat Colaborator
- asociate
- At
- ataca
- Atacuri
- încercarea
- Automata
- departe
- înapoi
- fundal
- bazat
- BBC
- BE
- deoarece
- deveni
- fost
- înainte
- început
- bum
- atât
- încălcarea
- Britanic
- afaceri
- dar
- by
- Campanii
- CAN
- vânătoare
- a ales
- revendicat
- clasificate
- clientii
- Colectare
- cum
- companie
- încheiat
- efectuarea
- încredere
- conflict
- conexiune
- consistent
- ar putea
- clienţii care
- Cyber
- criminalităţii cibernetice
- Securitate cibernetică
- de date
- Zi
- Grad
- cererile
- proiectat
- devastator
- Director
- a descoperit
- Disney
- diversificat
- portofoliu diversificat
- De
- jos
- două
- în timpul
- fiecare
- Mai devreme
- Devreme
- uşura
- efect
- a intrat
- etc
- Chiar
- dovadă
- aștepta
- Exploata
- exploatare
- exploatat
- stoarcere
- extrage
- factor
- destul de
- departe
- FBI
- federal
- puțini
- Fișier
- Fişiere
- First
- defect
- Pentru
- găsit
- din
- Complet
- joc
- Bandă
- obtinerea
- Go
- grup
- HAD
- mâini
- Avea
- he
- ajutor
- a ajutat
- Înalt
- deținere
- FIERBINTE
- HTTPS
- sute
- i
- ID
- identificator
- identificarea
- Identitate
- Iis
- afectate
- in
- inactiv
- inclus
- Inclusiv
- informații
- securitatea informațiilor
- instalat
- Inteligență
- Internet
- IP
- Adresele IP
- IT
- ESTE
- în sine
- jpg
- iulie
- iunie
- doar
- Copil
- Cunoaște
- Cunoaștere
- cunoscut
- mare
- Nume
- mai tarziu
- a lansat
- pîrghii
- ca
- Probabil
- Listă
- situat
- blocat
- malware
- gestionate
- de conducere
- Managing Director
- manual
- Masa
- Mai..
- mecanism
- Membri actuali
- Microsoft
- La mijlocul
- Lună
- mult
- multiplu
- Natură
- aproape
- Olanda
- rețele
- notițe
- of
- on
- cele
- deschide
- or
- organizații
- iniţial
- Altele
- afară
- global
- trecut
- Plătește
- perioadă
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- portofoliu
- PoS
- eventual
- potenţial
- potenţial
- precursor
- împiedica
- privat
- proces
- Produs
- Progres
- furniza
- public
- Răscumpărare
- Ransomware
- Atac Ransomware
- motiv
- motive
- recent
- legate de
- relație
- Rapoarte
- cercetători
- REST
- revizuiască
- Risc
- sul
- Rusia
- s
- Said
- acelaşi
- spune
- îra
- securitate
- vedea
- vedere
- sensibil
- Servicii
- ea
- a arătat
- asemănător
- sta
- teren
- So
- până acum
- Software
- unele
- viteză
- Etapă
- Stadiile
- Standuri
- Pornire
- astfel de
- sugerează
- sisteme
- Ţintă
- direcționare
- obiective
- test
- Testarea
- acea
- informațiile
- Olanda
- furt
- lor
- Lor
- apoi
- ei
- acest
- mii
- amenințare
- actori amenințători
- Prin
- timp
- la
- transfer
- declanşa
- ÎNTORCĂ
- Cotitură
- De două ori
- Două
- unic
- us
- Federal SUA
- utilizare
- Utilizator
- folosind
- vânzător
- furnizori
- foarte
- victime
- vulnerabilitate
- vulnerabil
- mers
- a fost
- valuri
- Cale..
- modalități de
- we
- au fost
- care
- OMS
- de ce
- pe scară largă
- dispus
- cu
- de lucru
- ani
- încă
- zephyrnet
