تقول Microsoft إن عصابة Clop ransomware تقف وراء الاختراقات الجماعية لـ MOVEit ، حيث يتقدم الضحايا أولاً
تقول Microsoft إن عصابة Clop ransomware تقف وراء الاختراقات الجماعية لـ MOVEit ، حيث يتقدم الضحايا أولاً
تأكدت ضحايا بي بي سي والخطوط الجوية البريطانية وحكومة نوفا سكوشا
باحثو الأمن لديهم ربطت موجة جديدة من الاختراقات الجماعية التي تستهدف أداة شائعة لنقل الملفات بعصابة Clop ransomware سيئة السمعة ، حيث بدأ الضحايا الأوائل للهجمات في الظهور.
تم الكشف الأسبوع الماضي أن المتسللين يستغلون ثغرة أمنية تم اكتشافها حديثًا في MOVEit Transfer ، وهي أداة لنقل الملفات تستخدمها الشركات على نطاق واسع لمشاركة الملفات الكبيرة عبر الإنترنت. تسمح الثغرة الأمنية للمتسللين بالحصول على وصول غير مصرح به إلى قاعدة بيانات خادم MOVEit المتأثر. تقدم شركة Progress Software ، التي تطور برنامج MOVEit أصدرت بالفعل بعض التصحيحات.
خلال عطلة نهاية الأسبوع ، بدأ الضحايا الأوائل للهجمات في التقدم.
أكدت شركة Zellis ، وهي شركة تصنيع برمجيات الموارد البشرية ومزود كشوف المرتبات ومقرها المملكة المتحدة ، لموقع TechCrunch أن نظام MOVEit الخاص بها قد تعرض للاختراق ، حيث أثر الحادث على “عدد صغير” من عملائها من الشركات.
أحد هؤلاء العملاء هو شركة الخطوط الجوية البريطانية العملاقة البريطانية ، التي أخبرت TechCrunch أن الخرق شمل بيانات كشوف المرتبات لجميع موظفيها المقيمين في المملكة المتحدة.
قال المتحدث باسم الخطوط الجوية البريطانية جيسون تورنيدج بيتس لموقع TechCrunch: “لقد تم إبلاغنا بأننا إحدى الشركات التي تأثرت بحادث الأمن السيبراني ل Zellis والذي وقع عن طريق أحد مورديها الخارجيين المسمى MOVEit”. توفر Zellis خدمات دعم كشوف المرتبات لمئات الشركات في المملكة المتحدة ، ونحن واحد منها. لقد أبلغنا الزملاء الذين تم اختراق معلوماتهم الشخصية لتقديم الدعم والمشورة “.
لم تؤكد الخطوط الجوية البريطانية عدد الموظفين المتأثرين ، لكن لديها حاليًا حوالي 35000 موظف حول العالم.
كما أكدت بي بي سي البريطانية أنها تأثرت بالحادثة التي طالت زيليس. وقال متحدث باسم هيئة الإذاعة البريطانية (بي بي سي) ، رفض الكشف عن اسمه ، لموقع TechCrunch: “نحن على علم بحدوث خرق للبيانات لدى مورد الطرف الثالث Zellis ، ونعمل عن كثب معهم حيث يحققون على وجه السرعة في مدى الاختراق. نحن نتعامل مع أمان البيانات بجدية بالغة ونتبع إجراءات إعداد التقارير المعمول بها “.
قالت حكومة نوفا سكوتيا ، التي تستخدم MOVEit لمشاركة الملفات عبر الإدارات بالوضع الحالي أن المعلومات الشخصية لبعض المواطنين ربما تم اختراقها. قالت حكومة نوفا سكوتيا إنها أوقفت نظامها المتضرر ، وتعمل على تحديد “بالضبط ما هي المعلومات التي سُرقت ، وعدد الأشخاص الذين تأثروا”.
لم يكن من الواضح في البداية من يقف وراء هذه الموجة الجديدة من الاختراقات ، لكن باحثي الأمن في Microsoft ينسبون الهجمات الإلكترونية إلى مجموعة تتبعها باسم “Lace Tempest”. هذه العصابة هي فرع معروف لمجموعة Club Ransomware المرتبطة بروسيا ، والتي كانت مرتبطة سابقًا بالهجمات الجماعية التي تستغل العيوب في أداة نقل الملفات GoAnywhere من Fortra وتطبيق نقل الملفات من Accellion.
قال باحثو مايكروسوفت إن استغلال ثغرة MOVEit غالبًا ما يتبعه سرقة البيانات.
لا يقوم Mandiant حتى الآن بإعطاء نفس الإسناد مثل Microsoft ، ولكن تم الإشارة إليه في ملف مشاركة مدونة خلال عطلة نهاية الأسبوع ، كانت هناك أوجه تشابه “ملحوظة” بين مجموعة التهديدات التي تم إنشاؤها حديثًا ، والتي تستدعي UNC4857 التي لديها “دوافع غير معروفة” حتى الآن ، و FIN11 ، مجموعة برامج الفدية الراسخة المعروفة بتشغيل Clop ransomware. قال مانديانت: “قد يوفر التحليل المستمر للنشاط الناشئ رؤى إضافية”.
أكد تشارلز كارماكال ، كبير مسؤولي التكنولوجيا في Mandiant ، لـ TechCrunch الأسبوع الماضي أن الشركة “شاهدت دليلًا على سرقة البيانات لضحايا متعددين”.
من المحتمل أن يظهر المزيد من ضحايا خرق MOVEit خلال الأيام القليلة المقبلة.
أظهر Shodan ، وهو محرك بحث للأجهزة وقواعد البيانات المكشوفة للجمهور ، أنه يمكن اكتشاف أكثر من 2500 خادم MOVEit Transfer على الإنترنت.