Vdor MOVEit je eden največjih napadov z izsiljevalsko programsko opremo leta 2023 in je prizadel milijone ljudi po vsem svetu.

Ključni zaključki

  • Vdor MOVEit, ki ga je izvedla skupina izsiljevalske programske opreme Clop, je eden največjih vdorov leta 2023, ki je prizadel 2659 organizacij in 67 milijonov ljudi.
  • Kršitev je izkoristila ranljivosti zero-day v aplikaciji MOVEit, ki je napadalcem omogočila dostop do občutljivih podatkov, ki jih hranijo organizacije, ki uporabljajo programsko opremo.
  • Kršitev je močno prizadela izobraževalni sektor, med tarčami pa so bile univerze, kot sta John Hopkins in Univerza Webster. Drugi prizadeti sektorji vključujejo zdravje, finance in podjetja.

Ali ste eden od 62 milijonov ljudi, ki jih je prizadela kršitev MOVEit? Vdor v MOVEit je eden največjih vdorov v letu 2023, pri čemer je skupina izsiljevalske programske opreme Clop odkupila na tisoče organizacij in pobegnila z desetinami milijonov dolarjev.

Kaj je torej napad izsiljevalske programske opreme MOVEit in kako je prizadel tako veliko ljudi?

instagram viewer

Kaj je MOVEit?

MOVEit je programska oprema in storitev za varen prenos datotek, ki jo je razvila družba Progress Software in je zasnovana za lažji varen prenos občutljivih podatkov med organizacijami in posamezniki. MOVEit uporabljajo podjetja, vladne organizacije, univerze in v bistvu kateri koli subjekt, ki shranjuje in upravlja svoje podatke, kar podjetjem omogoča varen prenos datotek in podatkov, da jih zaščiti od nepooblaščen dostop ali kršitve.

Vendar maja 2023 temu ni več tako, saj je skupina izsiljevalske programske opreme Clop vdrla v podatke na tisoče organizacij, ki so za svoje podatke uporabljale MOVEIt.

Kako je prišlo do kršitve MOVEit?

Maja 2023 je zloglasna skupina izsiljevalskih programov Clop v aplikaciji MOVEIt izkoristila več ranljivosti ničelnega dne.

Ranljivost ničelnega dne je varnostna napaka programske opreme, neznana prodajalcu ali javnosti in jo napadalci izkoristijo, preden je na voljo popravek ali popravek. Ranljivosti ničelnega dne so še posebej nevarne, ker jih je mogoče dolgo časa prikrito izkoriščati brez vednosti prodajalca.

Progress Software je sčasoma popravil te ranljivosti, vendar je bilo že prepozno. V obdobju, ko je bila ranljivost neznana javnosti in prodajalcem, so napadalci dostopali in vdrli v podatke tisočih organizacij, ki so uporabljale MOVEit za upravljanje in prenos svojih podatkov.

Avtorstvo slike: rawpixel.com/Freepik

Skupina izsiljevalske programske opreme Clop je odkrila več ranljivosti vbrizgavanja SQL v aplikaciji MOVEit, kar jim je omogočilo dostop do baze podatkov organizacij ter prenos in ogled podatkov. Vbrizgavanje SQL je ranljivost kjer je zlonamerna koda SQL vstavljena v vnosna polja in izkorišča ranljivosti v aplikaciji, ki podpira bazo podatkov. Nepooblaščena koda lahko manipulira z bazo podatkov in potencialno razkrije ali spremeni občutljive informacije.

Ranljivosti vbrizgavanja SQL so registrirane kot CVE-2023-34362, CVE-2023-35036 in CVE-2023-35708 in so bile popravljene 31. maja 2023, 9. junija 2023 oziroma 15. junija 2023. Vse različice aplikacije za prenos MOVEit so bile ranljive za te ranljivosti. Ko je izkoriščen, omogoča nepristnemu napadalcu dostop do vsebine podatkovne baze MOVEIt za prenos organizacije. To pomeni, da lahko napadalec prenese, spremeni ali celo izbriše baze podatkov brez kakršnih koli omejitev.

Vpliv kršitve MOVEit

Po Emisoftovi analizi in statistiko o kršitvi podatkov MOVEit, od 9. novembra 2023 je kršitev MOVeit prizadela 2659 organizacij, in več kot 67 milijonov ljudi je bilo prizadetih z organizacijami, večinoma s sedežem v Združenih državah, Kanadi, Nemčiji in Združenem kraljestvu.

Izobraževanje je najbolj prizadet sektor, saj ti napadalci črpajo podatke številnih univerz. Izobraževalne organizacije, ki jih je prizadela ta kršitev, vključujejo sistem javnih šol v New Yorku, John Univerza Hopkins, Univerza na Aljaski in Univerza Webster so med drugim priljubljene univerze. Drugi sektorji, na katere je ta kršitev močno vplivala, vključujejo zdravstveni sektor, banke, finančne institucije in podjetja.

Nekatere bolj znane organizacije, ki jih je prizadela izsiljevalska programska oprema MOVEit, so BBC, Shell, Siemens Energy, Ernst & Young in British Airways.

25. septembra 202 je vodilna matična služba za nosečnice, novorojenčke in otroke,ROJEN Ontario, je izdal izjavo o kršitvi MOVEit, ki razkriva, da jih je kršitev MOVEit prizadela. Po njihovem poročilu je ranljivost MOVEit nepooblaščenim zlonamernim tretjim osebam omogočila dostop in kopiranje datotek osebne zdravstvene podatke v evidenci BORN Ontario, ki so bili preneseni s programsko opremo za varen prenos datotek.

V odgovor je Born Ontario takoj izoliral sistem, onemogočil prizadeti strežnik in zagnal preiskavo, sodelovanje s strokovnjaki za kibernetsko varnost, da bi ugotovili resnost in za katere specifične podatke je šlo ukraden.

Številne od teh organizacij niso bile vdrte zaradi uporabe aplikacije MOVEit, temveč zato, ker so pod pokroviteljstvom tretjih ponudnikov, ki so uporabili aplikacijo za prenos MOVEit, zaradi česar so dobili kršena tudi. Podobna situacija je pri drugih organizacijah, ki stanejo milijarde dolarjev v plačilih z izsiljevalsko programsko opremo in drugih varnostnih popravkih.

Na vas je vplivala kršitev MOVEit. Kaj je naslednje?

Če še vedno uporabljate MOVEit, ga nemudoma popravite na najnovejšo različico, da preprečite, da bi ti hekerji ukradli vaše datoteke in podatke. Internet in programska oprema, ki ga uporablja, sta na žalost nagnjena k vdorom in izsiljevalski programski opremi, zato se morate in vaša sredstva varna z rednim spreminjanjem gesel, uporabo protivirusne programske opreme in omogočanjem večfaktorja avtentikacija.

Kljub temu, kot kaže kršitev MOVEit, lahko storite vse to in skupina hekerjev bo našla izkoriščanje, ki ga še niste videli.