提供雲端安全與合規的Qualys遭受了數據外洩露,據稱駭客利用了Accellion FTA伺服器中的零時差漏洞並安裝一個名為“DEWMODE”的web shell,用於下載存儲在目標受害者FTA伺服器上的相關檔案。由十二月開始,一連串的攻擊針對Accellion FTA檔案傳輸應用程式的零時差漏洞,該漏洞使攻擊者能夠竊取伺服器上存儲的檔案。從那時起,CLOP勒索軟體就一直通過在其揭秘網站上發布盜來的數據來勒索這些受害者,如下圖已知的受害者包括交通運輸的新南威爾士州, 新加坡電信,龐巴迪,Jones Day律師事務所,科技企業Danaher等
Qualys擁有大約19,000個客戶,其中包括Capital One和Experian等大型金融公司,對於熱衷於公開敏感數據的勒索者而言,Qualys是一個有吸引力的目標。
Qualys的資訊安全長 Ben Carr在周三晚上的一份聲明中說,承認該公司在DMZ環境中已使用了Accellion檔案傳輸技術來進行與客戶支援相關的檔案傳輸,攻擊者已存取了Accellion伺服器上託管的檔案。Carr說,Qualys通知了受此未經授權存取影響的客戶,但拒絕透露有多少客戶受到影響,並正在等待進行的調查結束,Carr補充說該事件並未影響Qualys Cloud Platform上託管的Qualys生產環境,codebase或客戶數據。
CLOP勒索軟體背後駭客聲稱已從Qualys竊取了數據,而根據外媒得到的截圖,洩露的數據包括了公司發票、採購訂單、稅務文件和掃描報告等
另外為了應對攻擊,Accellion FTA 伺服器供應商已經發布了多個安全修補,並且將在2021年4月30日淘汰該FTA伺服器軟體。
駭客利用Accellion FTA進行數據盜竊和勒索的有關情資:
https://otx.alienvault.com/pulse/6033df085aef66991b0b0462
有關Accelion FTA事件受影響的其他公司, 我們之前也有相關的報導: