Af Eskil Sørensen, 03/07/23
Antallet af organisationer, der er berørt af Clop-gruppens angreb mod brugere af MOVEit-filoverførselssoftware, fortsætter med at vokse.
Det skriver Data Breach Today.
Der er dog ikke helt enighed blandt iagttagere om antallet af ofre. Fx tweetede en trusselsanalytiker hos Emisoft i sidste uge, at 108 organisationer inklusive syv amerikanske universiteter er blevet påvirket af angrebet, mens cybersikkerhedsanalysefirmaet KonBriefing ifølge artiklen oplyser, at mindst 131 organisationer ser ud til at være blevet berørt. Konbriefing opdaterer dog løbende listen, der pt. er oppe på 168 ofre.
Uanset om det er 108 eller næsten 170, så er det et faktum, at Clops kampagne udnyttede en 0-dagssårbarhed i MOVEit filoverførselssoftware til at stjæle data. Og at et flertal af angrebene ser ud til at være blevet iværksat den 27. maj og 28. maj, hvilket er sammenfaldende en lang ferieweekend i USA i forbindelse med Memorial Day.
Progress udgav patches til understøttede versioner af MOVEit den 31. maj for at rette den udnyttede fejl, og den 15. juni rettede Progress yderligere to 0-dages sårbarheder, der efter det oplyste dog ikke ser ud til at være blevet udnyttet af kriminelle, skriver Data Breach Today.
Dataeksfiltrering
Der er tilsyneladende tale om en dataeksfiltreringskampagne og ikke malware, der kan kompromittere tilgængeligheden, som det fx ses ved ransomwareangreb. Alligevel bliver ofrene taget som gidsel, eftersom Clop truer med at offentliggøre data fra sine ofre på sin datalækageside. På denne side oplyser Clop selv, at de langsomt lækker navne ’..for at give store virksomheder tid til at kontakte os’.
En af de større ofre er det kendte universitet i Los Angeles, UCLA, der opdagede angrebet i starten af juni. En talsmand for universitet oplyser til Information Security Media Group, at UCLA bruger MOVEit Transfer til at overføre filer på tværs af campus og til andre enheder. Spørgsmålet er imidlertid for fx et universitet som UCLA, om der er overført værdifulde forskningsdata, der kan have interesse for de klassiske cyberspionageaktører. Eller om der er tale om personhenførbare data, hvis anvendelsesmuligheder er anderledes kommercialisérbare for cyberkriminelle.
Det er fx tilfældet for New York City, der har rapporteret, at cyberkriminelle har stjålet personlige oplysninger om ca. 45.000 studerende samt ansatte og tjenesteudbydere. Også en pensionsordning, der betjener mere end 50 universiteter, og en serviceudbyder for pension- og forsikringskunder i USA har fået kompromitteret data for deres medlemmer.
Clop hævder, at den som en del af MOVEit-kampagnen har slettet statslige data, som den har stjålet fra 30 organisationer, herunder offentlige myndigheder. Clop, der er russiskbaseret, oplyser ifølge Data Breach Today, på sin datalækageside, at den har en rent økonomisk - ikke politisk - dagsorden.
Links:
https://www.databreachtoday.com/extortion-group-clops-moveit-attacks-hit-over-130-victims-a-22384
https://konbriefing.com/en-topics/cyber-attacks-moveit-victim-list.html