Пробивът в MOVEit е една от най-големите атаки с рансъмуер за 2023 г. и е засегнал милиони хора по целия свят.
Ключови изводи
- Пробивът в MOVEit, извършен от групата Clop ransomware, е един от най-големите хакове за 2023 г., засягащ 2659 организации и 67 милиона души.
- Пробивът използва уязвимости от нулев ден в приложението MOVEit, давайки на нападателите достъп до чувствителни данни, съхранявани от организации, използващи софтуера.
- Образователният сектор беше силно засегнат от пробива, като сред набелязаните бяха университети като Джон Хопкинс и Уебстър. Други засегнати сектори включват здравеопазване, финанси и бизнес.
Вие ли сте един от 62 милиона души, засегнати от нарушението на MOVEit? Пробивът в MOVEit е един от най-големите хакове за 2023 г., като групата Clop ransomware откупи хиляди организации и измъкна десетки милиони долари.
И така, какво представлява атаката с ransomware MOVEit и как е засегнала толкова много хора?
Какво е MOVEit?
MOVEit е защитен софтуер за прехвърляне на файлове и услуга, разработена от Progress Software, предназначена да улесни сигурното прехвърляне на чувствителни данни между организации и физически лица. MOVEit се използва от фирми, правителствени организации, университети и общо взето всеки субект, който съхранява и управлява своите данни, което позволява на компаниите да прехвърлят файлове и данни сигурно, за да ги защитят от
неоторизиран достъп или нарушения.Въпреки това през май 2023 г. това престана да е така, тъй като групата Clop ransomware хакна хиляди данни на организации, които използваха MOVEIt за своите данни.
Как се случи нарушението на MOVEit?
През май 2023 г. скандалната група Clop ransomware използва множество уязвимости от нулевия ден в приложението MOVEIt.
Уязвимост от нулевия ден е пропуск в сигурността на софтуера, неизвестен на доставчика или обществеността и използван от нападателите, преди да е налична корекция или корекция. Уязвимостите от нулевия ден са особено опасни, защото могат да бъдат експлоатирани скрито без знанието на доставчика за много дълго време.
В крайна сметка Progress Software коригира тези уязвимости, но вече беше твърде късно. През периода, когато уязвимостта беше неизвестна на обществеността и доставчиците, нападателите получиха достъп и нарушиха данните на хиляди организации, които използваха MOVEit, за да управляват и прехвърлят своите данни.
Групата Clop ransomware откри множество уязвимости при инжектиране на SQL в приложението MOVEit, което им позволява достъп до базата данни на организации и изтегляне и преглед на данни. SQL инжектирането е уязвимост където злонамерен SQL код се вмъква в полетата за въвеждане, като се използват уязвимости в приложение, поддържано от база данни. Неупълномощеният код може да манипулира базата данни, потенциално излагайки или променяйки чувствителна информация.
Уязвимостите при SQL инжектиране са регистрирани като CVE-2023-34362, CVE-2023-35036 и CVE-2023-35708 и са коригирани съответно на 31 май 2023 г., 9 юни 2023 г. и 15 юни 2023 г. Всички версии на приложението за прехвърляне MOVEit бяха уязвими към тези уязвимости. Когато бъде експлоатиран, той позволява на неавтентифициран нападател да получи достъп до съдържанието на базата данни за трансфер MOVEIt на организацията. Това означава, че атакуващият може да изтегля, променя или дори изтрива бази данни без никакви ограничения.
Въздействието на нарушението на MOVEit
Според анализа на Emisoft и статистика относно нарушението на данните на MOVEit, към 9 ноември 2023 г. 2659 организации са били засегнати от нарушението на MOVeit, и над 67 милиона души са били засегнати с организации, основно базирани в Съединените щати, Канада, Германия и Обединеното кралство.
Образованието е най-засегнатият сектор, като данните на много университети се източват от тези нападатели. Образователните организации, засегнати от това нарушение, включват системата на държавните училища в Ню Йорк, Джон Университетът Хопкинс, Университетът на Аляска и Университетът Уебстър, наред с други популярни университети. Други сектори, силно засегнати от това нарушение, включват здравния сектор, банките, финансовите институции и бизнеса.
Някои от по-известните организации, засегнати от ransomware MOVEit, включват BBC, Shell, Siemens Energy, Ernst & Young и British Airways.
На 25 септември 202 г. водещата служба за пренатален, новороден и детски регистър,РОДЕН в Онтарио, пуснаха изявление относно пробива в MOVEit, разкривайки, че са били засегнати от пробива в MOVEit. Според техния доклад уязвимостта на MOVEit позволява на неупълномощени злонамерени участници от трети страни да имат достъп и да копират файлове на лична здравна информация, съдържаща се в записите на BORN Ontario, която е била прехвърлена с помощта на защитен софтуер за прехвърляне на файлове.
В отговор Born Ontario незабавно изолира системата, изведе от експлоатация засегнатия сървър и стартира разследване, партньорство с експерти по киберсигурност, за да се установи тежестта и какви конкретни данни са били откраднат.
Много от тези организации бяха хакнати не защото използваха приложението MOVEit, а защото те покровителствани доставчици на трети страни, които са използвали приложението за прехвърляне MOVEit, което води до получаването им също нарушени. Подобна е ситуацията и за други организации, които струват милиарди долари в плащания за рансъмуер и други корекции на сигурността.
Вие сте били засегнати от нарушението на MOVEit. Какво следва?
Ако все още използвате MOVEit, незабавно го обновите до най-новата версия, за да предотвратите кражбата на вашите файлове и данни от тези хакери. Интернет и софтуерът, който го използва, за съжаление са склонни към хакове и рансъмуер и трябва да се пазите и вашите активи защитени чрез редовна промяна на паролите, използване на антивирусен софтуер и активиране на многофакторност удостоверяване.
Все пак, както показва пробивът в MOVEit, вие можете да направите всичко това и екип от хакери ще открие експлойт, невиждан досега.