Утечка данных MOVEit в 2023 г.

Утечка данных MOVEit в 2023 г.
Тип	Кибератака , утечка данных
Причина	MOVEit уязвимости
Первый репортер	Прогресс Программное обеспечение
Подозреваемые	кл0п

Волна кибератак и утечек данных началась в июне 2023 года после того, как была обнаружена уязвимость в MOVEit — программном обеспечении для управляемой передачи файлов .

Фон

MOVEit — это программное обеспечение для управляемой передачи файлов, разработанное Ipswitch, Inc. , дочерней компанией Progress Software .

Методология

Уязвимость в MOVEit позволяет злоумышленникам красть файлы у организаций посредством внедрения SQL-кода на общедоступные серверы. Передача осуществляется через специальную веб-оболочку, идентифицированную как LemurLoot. LemurLoot , замаскированный под файлы ASP.NET , законно используемые MOVEit, может украсть информацию Microsoft Azure Storage Blob. ^[1]

Открытие

По данным компании по кибербезопасности Mandiant , уязвимость MOVEit начала использоваться 27 мая 2023 года. ^[1]

Ответственность

По данным Агентства кибербезопасности и безопасности инфраструктуры и Федерального бюро расследований , взломами занимается Cl0p , связанная с Россией кибергруппировка. ^[2]

Влияние

3 июня правительство Новой Шотландии подсчитало, что от взлома пострадало около 100 000 нынешних и бывших сотрудников. ^[3]

5 июня были взломаны различные организации в Великобритании, в том числе BBC , British Airways , Boots , Aer Lingus и служба расчета заработной платы Zellis. ^[4] 12 июня Ernst & Young , Transport for London и Ofcom по отдельности объявили, что они пострадали, при этом Ofcom объявил, что была загружена личная и конфиденциальная информация. ^[5]

15 июня канал CNN сообщил, что Министерство энергетики США оказалось в числе многочисленных правительственных организаций США, пострадавших от уязвимости MOVEit. ^[6] На следующий день стало известно, что штата Луизиана Управление транспортных средств и Служба водителей и транспортных средств штата Орегон , от чего пострадали миллионы жителей. пострадали ^[7]

занимающейся кибербезопасностью По данным компании Emsisoft, , по состоянию на 25 октября 2023 года пострадало более 2500 организаций, причем более 80 процентов этих организаций находились в США. ^[8]

Ответ

Команда MOVEit работала с отраслевыми экспертами над расследованием инцидента, произошедшего 31 мая. Агентство кибербезопасности и безопасности инфраструктуры (CISA), ^[9] Краудстрайк , ^[10] Мандиант , ^[11] Майкрософт , ^[12] Охотница ^[13] и Рапид7 ^[14] оказали помощь в реагировании на инциденты и текущих расследованиях. ^[15] Эксперты кибериндустрии выразили благодарность команде MOVEit за реагирование и устранение инцидента, быстрое предоставление исправлений, а также регулярные и информативные рекомендации, которые помогли обеспечить быстрое устранение проблем. ^[16] ^[17]^[18]

Ссылки

^ Jump up to: ^а ^б Гудин, Дэн (5 июня 2023 г.). «Массовая эксплуатация критически важного недостатка MOVEit приводит к разорению больших и малых организаций» . Арс Техника . Проверено 15 июня 2023 г.
^ Монтегю, Зак (15 июня 2023 г.). «Российская группа программ-вымогателей взломала федеральные агентства в результате кибератаки» . Нью-Йорк Таймс . Проверено 15 июня 2023 г.
^ «Предупреждения и информация о нарушении конфиденциальности» . Новая Шотландия Кибербезопасность и цифровые решения . 4 июня 2023 г. . Проверено 25 июня 2023 г.
^ Тайди, Джо (5 июня 2023 г.). «Взлом MOVEit: BBC, BA и Boots среди жертв кибератак» . Би-би-си . Проверено 15 июня 2023 г.
^ Валланс, Крис (12 июня 2023 г.). «Взлом MOVEit: наблюдатель за СМИ Ofcom — последняя жертва массового взлома» . Би-би-си . Проверено 15 июня 2023 г.
^ Лингаас, Шон (15 июня 2023 г.). «Правительственные учреждения США подверглись глобальной кибератаке» . CNN . Проверено 15 июня 2023 г.
^ Лингаас, Шон (16 июня 2023 г.). «Личные данные миллионов американцев раскрыты в результате глобального взлома» . CNN . Проверено 15 июня 2023 г.
^ Распаковка нарушения MOVEit: статистика и анализ ,
^ «#StopRansomware: банда программ-вымогателей CL0P использует уязвимость CVE-2023-34362 MOVEit» . 7 июня 2023 г. . Проверено 7 июня 2023 г.
^ Лиой, Тайлер; Палка, Шон (5 июня 2023 г.). «Movin 'Out: выявление утечки данных при расследовании передачи MOVEit» . Проверено 5 июня 2023 г.
^ Завери, Надер; Кеннелли, Джереми; Старк, Женевьева (2 июня 2023 г.). «Уязвимость нулевого дня в передаче MOVEit, использованная для кражи данных» . Проверено 2 июня 2023 г.
^ "@MsftSecIntel" . 4 июня 2023 г. . Проверено 4 июня 2023 г.
^ Хаммонд, Джон (1 июня 2023 г.). «MOVEit Transfer Критическая уязвимость CVE-2023-34362, быстрое реагирование» . Проверено 1 июня 2023 г.
^ Кондон, Кейтлин (1 июня 2023 г.). «Rapid7 наблюдал эксплуатацию критической уязвимости передачи MOVEit» . Проверено 1 июня 2023 г.
^ Капко, Мэтт (14 июня 2023 г.). «Хронология массового эксплойта MOVEit: как атака службы передачи файлов запутывает жертв» . Проверено 26 июня 2023 г.
^ Старкс, Тим (7 июня 2023 г.). «Киберзащитники реагируют на взлом инструмента передачи файлов» . Вашингтон Пост . Проверено 7 июня 2023 г.
^ «Внутри атаки MOVEit: расшифровка TTP Clop и расширение возможностей специалистов по кибербезопасности» . 4 июля 2023 г. . Проверено 4 июля 2023 г.
^ Стоун, Ной (20 июля 2023 г.). «Новое исследование показывает быстрое устранение уязвимостей MOVEit Transfer» . БитСайт . Проверено 20 июля 2023 г.

[ArsInfo-1] Jump up to: ^а ^б Гудин, Дэн (5 июня 2023 г.). «Массовая эксплуатация критически важного недостатка MOVEit приводит к разорению больших и малых организаций» . Арс Техника . Проверено 15 июня 2023 г.

[2] Монтегю, Зак (15 июня 2023 г.). «Российская группа программ-вымогателей взломала федеральные агентства в результате кибератаки» . Нью-Йорк Таймс . Проверено 15 июня 2023 г.

[3] «Предупреждения и информация о нарушении конфиденциальности» . Новая Шотландия Кибербезопасность и цифровые решения . 4 июня 2023 г. . Проверено 25 июня 2023 г.

[4] Тайди, Джо (5 июня 2023 г.). «Взлом MOVEit: BBC, BA и Boots среди жертв кибератак» . Би-би-си . Проверено 15 июня 2023 г.

[5] Валланс, Крис (12 июня 2023 г.). «Взлом MOVEit: наблюдатель за СМИ Ofcom — последняя жертва массового взлома» . Би-би-си . Проверено 15 июня 2023 г.

[6] Лингаас, Шон (15 июня 2023 г.). «Правительственные учреждения США подверглись глобальной кибератаке» . CNN . Проверено 15 июня 2023 г.

[7] Лингаас, Шон (16 июня 2023 г.). «Личные данные миллионов американцев раскрыты в результате глобального взлома» . CNN . Проверено 15 июня 2023 г.

[8] Распаковка нарушения MOVEit: статистика и анализ ,

[9] «#StopRansomware: банда программ-вымогателей CL0P использует уязвимость CVE-2023-34362 MOVEit» . 7 июня 2023 г. . Проверено 7 июня 2023 г.

[10] Лиой, Тайлер; Палка, Шон (5 июня 2023 г.). «Movin 'Out: выявление утечки данных при расследовании передачи MOVEit» . Проверено 5 июня 2023 г.

[11] Завери, Надер; Кеннелли, Джереми; Старк, Женевьева (2 июня 2023 г.). «Уязвимость нулевого дня в передаче MOVEit, использованная для кражи данных» . Проверено 2 июня 2023 г.

[12] "@MsftSecIntel" . 4 июня 2023 г. . Проверено 4 июня 2023 г.

[13] Хаммонд, Джон (1 июня 2023 г.). «MOVEit Transfer Критическая уязвимость CVE-2023-34362, быстрое реагирование» . Проверено 1 июня 2023 г.

[14] Кондон, Кейтлин (1 июня 2023 г.). «Rapid7 наблюдал эксплуатацию критической уязвимости передачи MOVEit» . Проверено 1 июня 2023 г.

[15] Капко, Мэтт (14 июня 2023 г.). «Хронология массового эксплойта MOVEit: как атака службы передачи файлов запутывает жертв» . Проверено 26 июня 2023 г.

[16] Старкс, Тим (7 июня 2023 г.). «Киберзащитники реагируют на взлом инструмента передачи файлов» . Вашингтон Пост . Проверено 7 июня 2023 г.

[17] «Внутри атаки MOVEit: расшифровка TTP Clop и расширение возможностей специалистов по кибербезопасности» . 4 июля 2023 г. . Проверено 4 июля 2023 г.

[18] Стоун, Ной (20 июля 2023 г.). «Новое исследование показывает быстрое устранение уязвимостей MOVEit Transfer» . БитСайт . Проверено 20 июля 2023 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]