全球有超過100組織因MOVEit漏洞受到影響,證實新增受害者包括西門子能源、施耐德電機、UCLA、紐約市教育局等

最近受到MFT檔案共享工具MOVEit Transfer零時差漏洞CVE-2023-34362的影響,導致系統遭到入侵的組織超過100個單位,昨天幾位新的受害者站出來證實了遭到入侵,包括加州大學洛杉磯分校 (UCLA) 西門子能源(Siemens Energy)、施耐德電機(Schneider Electric)、紐約市教育局等。UCLA證實該校使用的 MOVEit Transfer 工具是此次攻擊的核心,並表示其 IT安全團隊於 6 月 1 日發現該工具成為攻擊目標。根據SC Media UCLA的報導, UCLA的發言人表示,加州大學洛杉磯分校立即啟動了事件回應程序,使用了Progress Software發布的安全修補修復了該漏洞,加強了對系統的監控並通知了聯邦調查局(FBI),並與外部資安專家合作調查此事,確認了事件的發生、哪些數據受到了影響以及被盜數據屬於誰,並進一步通知所有受到影響的人。UCLA表示這不是勒索事件,也沒有證據表明對任何其他校園系統有任何影響。

Cl0p公開UCLA成為其受害者

根據Security Affairs的報導,工業巨頭施耐德電機和西門子能源也成為受害者,兩者都提供用於全球關鍵國家基礎設施的工業控制系統 (ICS)。西門子能源確認其已成為攻擊目標;不過表示沒有關鍵數據被盜,業務營運也沒有受到影響。西門子能源表示,根據目前的分析,沒有關鍵數據受到損害,營運也沒有受到影響,在得知這一事件後立即採取了行動; 而施耐德則表示正在調查該Cl0p的說法,但並未確認遭到入侵,僅表示他們正在調查。

Cl0p公開施耐德則成為其受害者的頁面

Cl0p公開西門子能源成為其受害者

另外,6月24日(週六),紐約市教育局報告稱,駭客竊取了約 45,000 名學生以及工作人員和服務提供商個人資訊。儘管該市的調查仍在進行中,但該市教育部在一份數據外洩通知中表示,大約 19,000 份檔案在未經授權的情況下被存取,其中暴露了9,000個社會安全號碼和數量不詳的員工ID號碼。該市表示,個人將獲得身份監控服務,聯邦調查局和紐約警察局正在調查這起攻擊事件。自6月14日以來,Cl0p 一直在其暗網外洩網站上發布受害者的姓名,殼牌環球(Shell)、Telos、諾頓 LifeLock、加州公共僱員退休系統 ( CalPERS )、普華永道(PWC)、安永、Sony等數十家公司均被列入名單。MOVEit Transfer 是一種託管檔案傳輸,企業可以使用它通過 SFTP、SCP 和基於 HTTP 的上傳來安全地傳輸檔案。CVE-2023-34362漏洞是一個SQL注入漏洞,未經身份驗證的攻擊者可以利用它來獲得對MOVEit Transfer數據庫的未經授權的存取。Microsoft認為Clop 勒索軟體組織 (又名 Lace Tempest )發起了利用MOVEit Transfer平台中的漏洞的活動。5月31日,Progress Software修補MOVEit的CVE-2023-34362漏洞後,於6月10日及6月16日再修補另外兩個同樣位於MOVEit的SQL Injection漏洞CVE-2023-35036CVE-2023-35708。MOVEit Transfer用戶應密切注意並即時修補所有相關的安全更新。

6月17日,美國政府的正義獎勵(Rewards for Justice)計畫懸賞高達 1000 萬美元,以獲取將Cl0p勒索軟體集團或任何其他針對美國關鍵基礎設施的駭客資訊。

MOVEit的漏洞的部分入侵指標(Indicator of compromise -IOCs):

fe5f8388ccea7c548d587d1e2843921c038a9f4ddad3cb03f3aa8a45c29c6a2f

f994063b9fea6e4b401ee542f6b6d8d6d3b9e5082b5313adbd02c55dc6b4feb7

ea433739fb708f5d25c937925e499c8d2228bf245653ee89a6f3d26a5fd00b7a

e8012a15b6f6b404a33f293205b602ece486d01337b8b3ec331cd99ccadb562e

Cl0p 勒索軟體組織聲稱通過利用MOVEit Transfer中的漏洞攻擊了全球數百家公司

Cl0p 勒索軟體利用MOVEit Transfer中的的零時差漏洞竊取個資,危害了全球數百家公司。MOVEit Transfer 是一種MFT檔案共享系統,它允許企業使用 SFTP、SCP 和基於 HTTP 的上傳在業務合作夥伴和客戶之間安全地傳輸檔案。該零時差漏洞CVE-2023-34362是一個SQL注入漏洞,未經授權的攻擊者可利用該漏洞對MOVEit Transfer的資料庫進行未經授權的存取,竊取個資。最近傳出勒索軟體組織駭入MOVEit,攻擊BBC、英航和加拿大政府等企業。6月6日,微軟表示是次MOVEit Transfer的攻擊由勒索軟體組織Cl0p策劃。

Progress公司在發布的公告中表示,在 MOVEit Transfer Web 應用程式中發現了一個 SQL 注入漏洞,該漏洞可能允許未經身份驗證的攻擊者獲得對 MOVEit Transfer 數據庫的未經授權的存取。根據所使用的數據庫引擎(MySQL、Microsoft SQL Server 或 Azure SQL),攻擊者除了執行更改或刪除資料庫元素的 SQL 語句外,還可能推斷出有關數據庫結構和內容的資料。

該漏洞影響所有MOVEit Transfer版本,不影響雲端產品。Progress亦已在5月31日發佈修補程式,但是已經有用戶受害。6月7日,Cl0p在其暗網網站Cl0p News上聲稱已入侵數百家企業,暗示到6月14 日他們必須向其聯絡付贖金,滿足他們的需求,否則他們將把受害公司機密資訊公佈於網上。

目前無法確定遭Cl0p利用 MOVEit Transfer 漏洞入侵的組織的確切數量和是否存在台灣企業遭受此漏洞的影響。

5 月 31 日,資安公司Rapid7 專家發現了大約 2,500 個可在互聯網上公開存取的 MOVEit Transfer 實例 ,其中很大一部分位於美國。

Rapid7稱到目前為止,其團隊已經在多個客戶環境中觀察到相同的 webshel​​l 名稱,這可能表明存在自動利用。遭到零時差漏洞CVE-2023-34362攻擊的組織之一是薪資服務提供商Zellis,為英國數百家公司提供薪資支援服務,Zellia透露他們的MOVEit Transfer伺服器遭駭,部分客戶受到波及包含BBC 和英國航空公司員工的出現資料外洩的情況。另外,英國保健和美容零售商及藥店連鎖店 Boots 也證實受到了此次襲擊的影響。該公司尚未確定受影響員工的人數。另一家受影響的公司是愛爾蘭航空公司,該公司證實我們的一些現任和前任員工資料已被披露。

Progress 已及時提供緩解措施,通過將 MOVEit Transfer 更新到其中一個修補版本來幫助防止利用此漏洞。如果更新到上述修補對您的組織不可行,建議禁用 MOVEit Transfer 的 HTTP(s) 流量。

這並非Clop第一次經由檔案傳輸服務製造軟體供應鏈安全危機。該組織分別在2020和 2021年以檔案傳輸服務Accellion及2023年的GoAnywhere 造成大規模感染攻擊。

CL0P勒索軟體受害者爆增,多倫多市和維珍等證實駭客通過檔案傳輸管理系統存取了他們的數據!

注意了!CL0P勒索軟體組織鎖定檔案傳輸管理系統GoAnywhere的零時差漏洞,在過去的 24 小時已新增了42名受害者

3 月 23日,多倫多市政府和英國跨國企業集團維珍證實,駭客通過流行的檔案傳輸服務Fortra GoAnywhere MFT(Managed File Transfer)管理控制臺中的零時差遠端程式碼執行(Remote Code Execution-RCE)漏洞即CVE-2023-0669存取了他們的數據。GoAnywhere 是一個可以託管在雲中或組織網路上的系統允許公司傳輸大量數據和其他大型檔案。

多倫多官員周四告訴IT外媒ITWorld Canada,他們正在調查入侵其GoAnywhere檔案傳輸系統的事件,多倫多是最近被添加到 CL0P揭秘網站CL0P Leaks的數十名受害者之一,市政府官員在一份聲明中表示,他們在 3 月 20 日,發現到被未經授權存取其城市數據,多倫多政府發言人Alex Burke說,多倫多市已確認,確實有第三方供應商未經授權存取了它們的數據,並表示市政府正在積極調查已識別檔案的詳細資訊。該發言人補充說,“未經授權存取城市數據與 Fortra 的 GoAnywhere 服務中的零零時差漏洞有關。Tech Crunch報導,自2022年 1 月下旬或 2 月初發生攻擊以來——確切日期未知——CL0P披露了它過利用Fortra GoAnywhere伺服器上的這個特殊漏洞入侵了 130 多個組織並竊取了他們的數據。從那以後,受害者名單每天都在持續增。

本週四,CL0P在其揭秘網站上增加了42名新受害者,其中包括多家知名組織,維珍集團、日本SOLPAC株式會社、英國養老金保護基金、美國電視廣播公司 Gray TV、P&G及Pluralsight等。當中英國維珍旗下點數兌換業務 Virgin Red證實已被駭客通過CVE-2023-0669漏洞入侵。一位發言人說,最近一個自稱 CL0P 的勒索軟體組織聯繫了我們,他們通過對我們供應商 GoAnywhere 的網路攻擊非法獲取了一些 Virgin Red檔案,發言人表示有問題的檔案不會對客戶或員工構成風險,因為它們不包含任何個人數據。

Photo Credit: Daily Dark Web

另外,線上學習平台 Pluralsight 也坦承它確實使用 Fortra 的 GoAnywhere Managed File Transfer 產品將平台使用數據“傳輸”給他們的專業服務客戶。“Pluralsight 的產品和基礎設施沒有受到這次事件的影響,”一位發言人說。“當 Forta 將此事件告知我們時,我們立即停止使用該產品,並通知所有受影響的客戶,並解釋了他們數據的潛在風險。”

上週,日本科技巨頭 Hitachi Investissement Québec向資安外媒TechCrunch證實,他們因Fortra GoAnywhere的相關漏洞遭受駭客攻擊,被添加到 CL0P的名單。另外,世界第二大金屬和礦業公司力拓 (Rio Tinto) 表示,在被列入名單後,它正在調查這一問題。雲數據管理巨頭 Rubrik也證實,它遭到了駭客攻擊,而美國最大的醫療服務提供商之一Community Health SystemHatch Bank向監管機構通報了該事件。

Searchlight Cyber​​ 的威脅情報分析師 Louise Ferrett 指出,這並不是CL0P第一次利用第三方軟體中的漏洞“大規模入侵”多家組織。

在 2020 年底和 2021 年初,CL0P勒索軟體組織使用相同的策略,結合使用零時差漏洞和新的 Web shell,攻擊了100 多個使用 Accellion檔案傳輸設備的組織,由於Accellion FTA的漏洞,多倫多市在 2021 年 4 月同樣遭受了數據外洩。

勒索軟體搞烏龍,錯認受害者?! Clop駭入英國供水商South Staffordshire Water卻稱Thames Water是其受害者

英國South Staffordshire Water是一家每天為160萬名消費者提供 3.3 億升飲用水的公司,證實遭受網路攻擊,導致 IT 中斷。

8 月 15 日,South Staffordshire Water公告遭網路攻擊,IT系統中斷但沒有影響向其客戶或其子公司Cambridge Water 和 South Staffs Water的客戶供水,表示安全和配水系統仍在運行,該公司表示正在與英國政府和監管機構合作解決IT 中斷這一事件。

與此同時,Clop勒索軟體組織開始威脅Thames Water,聲稱已告知Thames Water其網路安全漏洞,雖然沒有加密他們的數據,但從其系統中盜取 5TB,並公佈了第一個被盜數據樣本,其中包括護照,水處理SCADA系統的螢幕截圖,駕駛執照等。Thames Water 是英國最大的水供應商和廢水處理供應商,服務於大倫敦地區和泰晤士河周邊地區。

Cl0p聲稱入侵Thames Water,實情並非如此

然而,Thames Water今天通過一份聲明正式駁斥這些說法,稱有關Clop入侵其網路的報導是網路騙局。

根據BleepingComputer,在取得的證據樣本中,Clop 提供了一個包含用戶名和密碼的電子表格,其中包含 South Staff Water 和 South Staffordshire 的電郵address,如下所示:

另外,其中一份發送給目標公司的外洩檔案明確寫給了 South Staffordshire PLC。因此,相信Clop錯誤地識別了他們的受害者,或者試圖使用虛假證據敲詐一家更大的公司。

隨後,Clop糾正了他們的錯誤,現將 South Staffordshire Water 列為其受害者。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”

Accellion安全檔案傳輸服務商的客戶被CL0P勒索軟體入侵,包含新加坡電信公司SingTel,美國驗船協會,法律事務所Jones Day等被CLOP列為最新受害公司!

CL0P勒索軟體揭秘網站上的五個最新受害者有兩個共同點。第一,最明顯的是,他們被CL0P勒索。第二,他們使用了Accellion安全檔案傳輸服務,以傳送分享大型檔案。

Accellion Inc.在2月1日宣布,其Accellion FTA是一個複雜的網路攻擊的目標。該公司表示,所有FTA客戶都已在12月23日立即收到攻擊通知。

上週,新加坡國有電信公司SingTel,美國驗船協會( American Bureau of Shipping),律師事務所Jones Day總部位於荷蘭的Fugro和生命科學公司Danaher被添加到CL0P的揭秘網站。以上五家被駭公司都使用web portal讓客戶或第三方使用Accellion檔案傳輸服務發送或接收大型檔案。

CL0P勒索軟體公開有關Singtel資料的頁面,紅下劃線為五個最新受害公司,他們同時為Accellion的客戶。

目前還不知道CL0P勒索軟體在對Accellion客戶的攻擊中起了什麼作用。或是Clop勒索軟體的駭客可能只是在幫助其他攻擊者從而盜竊數據來獲利。另外,CLOP的背後駭客告訴《華爾街日報》,它直接入侵了律師事務所Jones Day的伺服器,並且沒有參與Accellion的攻擊。

Screenshot Credit: DataBreaches.net

Screenshot credit: DataBreaches.net

Screenshot Credit: DataBreaches.net

無論哪種方式,對於Accellion客戶來說都是一個不好的兆頭。本週,新加坡電信美國科羅拉多大學 澳洲昆士蘭醫學研究組織QIMR Berghofer Medical Research Institute公開披露了其為Accellion檔案傳輸服務漏洞的受害者。

在2020年10月攻擊了德國企業軟體巨頭Software AG ,在11月加密韓國零售巨頭E-Land,勒索了龐大的贖金。

CLOP勒索軟體的相關情資, 就在竣盟科技代理的 AlienVault OTX 情資平台上:

https://otx.alienvault.com/pulse/5d442cfb09ea006776a81c42