باند باج‌افزار اولین قربانیان هک‌های انبوه MOVEit از جمله بانک‌ها و دانشگاه‌های ایالات متحده را فهرست می‌کند.

کلوپ، باج افزار باندی که مسئول بهره برداری از یک آسیب پذیری امنیتی حیاتی در ابزار محبوب انتقال فایل شرکتی است، شروع به فهرست کردن قربانیان هک های دسته جمعی از جمله تعدادی از بانک ها و دانشگاه های ایالات متحده کرده است.

باند باج افزار مرتبط با روسیه از اواخر ماه مه از نقص امنیتی در MOVEit Transfer، ابزاری که توسط شرکت ها و شرکت ها برای به اشتراک گذاری فایل های بزرگ از طریق اینترنت استفاده می شود، استفاده می کند. Progress Software که نرم‌افزار MOVEit را توسعه می‌دهد، این آسیب‌پذیری را اصلاح کرد – اما نه قبل از اینکه هکرها تعدادی از مشتریانش را به خطر بیندازند.

در حالی که تعداد دقیق قربانیان ناشناخته باقی مانده است، Clop روز چهارشنبه اولین دسته از سازمان‌هایی را فهرست کرد که می‌گوید با بهره‌برداری از نقص MOVEit هک کرده است. فهرست قربانیان، که در سایت نشت وب تاریک کلوپ ارسال شده است، شامل سازمان‌های خدمات مالی مستقر در ایالات متحده، 1st Source و First National Bankers Bank می‌شود. شرکت مدیریت سرمایه گذاری پاتنام سرمایه گذاری مستقر در بوستون؛ Landal Greenparks مستقر در هلند؛ و غول انرژی Shell مستقر در بریتانیا.

GreenShield Canada، یک حامل مزایای غیرانتفاعی که مزایای بهداشتی و دندانی را ارائه می دهد، در سایت نشت فهرست شده بود اما از آن زمان حذف شده است.

یک سخنگوی USG که نام آنها را ارائه نکرد، به TechCrunch گفت که دانشگاه “در حال ارزیابی دامنه و شدت این قرار گرفتن در معرض داده های بالقوه است.” در صورت لزوم، مطابق با قوانین فدرال و ایالتی، اعلان‌هایی برای افراد تحت تأثیر قرار خواهد گرفت.»

فلوریان پیتزینگر، سخنگوی شرکت مهندسی مکانیک آلمانی هایدلبرگ، که کلوپ آن را به عنوان قربانی فهرست کرد، در بیانیه ای به TechCrunch گفت که این شرکت “به خوبی از ذکر آن در وب سایت Tor از Clop و حادثه مرتبط با یک نرم افزار تامین کننده آگاه است.” این سخنگو افزود: این حادثه چند هفته پیش رخ داد، سریع و موثر با آن مقابله شد و بر اساس تجزیه و تحلیل ما منجر به نقض اطلاعات نشد.

هیچ یک از سایر قربانیان لیست شده هنوز به سوالات TechCrunch پاسخ نداده اند.

Clop که مانند سایر باج افزارهای باج افزار معمولاً با قربانیان خود تماس می گیرد تا برای رمزگشایی یا حذف پرونده های دزدیده شده آنها باج بگیرد، اقدام غیرعادی را انجام داد و با سازمان هایی که هک کرده بود تماس نگرفت. در عوض، یک پیام باج‌گیری که در سایت نشت تاریک وب آن منتشر شد به قربانیان می‌گفت که قبل از مهلت 14 ژوئن با باند تماس بگیرند.

هیچ اطلاعات دزدیده شده ای در زمان نگارش این مقاله منتشر نشده است، اما کلوپ به قربانیان می گوید که «بسیار زیادی دانلود کرده است. [sic] از داده های شما.”

قربانیان جدید جلو می آیند

چندین سازمان قبلاً فاش کرده بودند که در نتیجه این حملات به خطر افتاده بودند، از جمله BBC، Aer Lingus و British Airways. این سازمان‌ها همگی تحت تأثیر قرار گرفتند زیرا به تأمین‌کننده نرم‌افزار منابع انسانی و حقوق و دستمزد Zellis متکی بودند، که تأیید کرد که سیستم MOVEit آن به خطر افتاده است.

دولت نوا اسکوشیا، که از MOVEit برای به اشتراک گذاشتن فایل‌ها در بخش‌ها استفاده می‌کند، نیز تأیید کرد که تحت تأثیر قرار گرفته است و در بیانیه‌ای اعلام کرد که ممکن است اطلاعات شخصی برخی از شهروندان به خطر افتاده باشد. با این حال، کلوپ در پیامی در سایت فاش شده خود گفت: “اگر شما یک سرویس دولتی، شهری یا پلیس هستید … ما تمام اطلاعات شما را پاک کردیم.”

در حالی که گستره کامل حملات ناشناخته باقی مانده است، قربانیان جدید همچنان ظاهر می شوند.

دانشگاه جان هاپکینز این هفته یک حادثه امنیت سایبری را تایید کرد که گمان می رود مربوط به هک جمعی MOVEit باشد. در بیانیه ای، دانشگاه گفت که نقض داده ها «ممکن است بر اطلاعات شخصی و مالی حساس، از جمله نام، اطلاعات تماس، و سوابق صورتحساب سلامت تأثیر بگذارد.

آفکام، تنظیم کننده ارتباطات بریتانیا، همچنین گفت که برخی از اطلاعات محرمانه در هک انبوه MOVEit به خطر افتاده است. در بیانیه ای، رگولاتور تأیید کرد که هکرها به برخی از داده های مربوط به شرکت های تحت نظارت خود، همراه با اطلاعات شخصی 412 کارمند آفکام دسترسی پیدا کرده اند.

به گزارش بی بی سی نیوز، حمل و نقل برای لندن (TfL)، نهاد دولتی که مسئول اجرای خدمات حمل و نقل لندن است، و شرکت مشاوره جهانی ارنست اند یانگ نیز تحت تاثیر قرار گرفته اند. هیچ یک از سازمان ها به سوالات TechCrunch پاسخ ندادند.

انتظار می‌رود قربانیان بیشتری در روزها و هفته‌های آینده آشکار شوند و هزاران سرور MOVEit – که اکثر آنها در ایالات متحده قرار دارند – هنوز در اینترنت قابل کشف هستند.

محققان همچنین گزارش دادند که Clop احتمالاً در سال 2021 از آسیب‌پذیری MOVEit سوء استفاده می‌کرده است. شرکت مشاوره ریسک آمریکایی Kroll در گزارشی گفت که در حالی که این آسیب‌پذیری تنها در اواخر ماه مه آشکار شد، محققان آن فعالیتی را شناسایی کردند که نشان می‌دهد Clop در حال آزمایش با آن است. راه هایی برای سوء استفاده از این آسیب پذیری خاص برای تقریبا دو سال.

محققان کرول می‌گویند: «این یافته دانش و برنامه‌ریزی پیچیده‌ای را نشان می‌دهد که در رویدادهای بهره‌برداری انبوه مانند حمله سایبری MOVEit Transfer انجام می‌شود.

Clop همچنین مسئول حملات انبوه قبلی بود که از نقص‌های موجود در ابزار انتقال فایل GoAnywhere Fortra و برنامه انتقال فایل Accellion استفاده می‌کرد.