Ranljivost v pogosto uporabljeni storitvi za prenos datotek, imenovani GoAnywhere, je skupini izsiljevalske programske opreme Clop omogočila vdor v približno 130 organizacij. Nekaj tednov kasneje se še vedno pojavljajo podrobnosti o obsežnem napadu.
Do zdaj te podrobnosti niso prihajale iz matičnega podjetja GoAnywhere Fortra. To je bila organizacija žrtev, ki polni naslovnice z javnimi razkritji kršitev podatkov. Stranke GoAnywhere, ki so razkrile, da je prišlo do kršitve prek ranljivosti oddaljenega izvajanja kode GoAnywhere MFT, ki se spremlja pod CVE-2023-0669, do zdaj vključujejo Zdravstveni sistemi Skupnosti, Hatch Bank, podjetje za kibernetsko varnost rubrika, Hitachi Energy, in mesto Toronto, ki, če seštejemo, predstavljata izpostavljenost zasebnih podatkov milijonov ljudi najhujšim elementom kibernetskega kriminala.
Kibernetski kriminalci Clop so bili nestrpni, da bi zagotovili podrobnosti o svoji kampanji in na svojem spletnem mestu zatrjevali, da so izkoriščanje uporabljali v 10 dneh za kršijo več kot 130 podjetijPo Poročila.
Forta pa je javno molčala o stalnem toku razkritij. Danes pa je družbi Dark Reading dala izjavo z zagotovili, da je zavezana pomagati svojim strankam pri krmarjenju s tem, kar se razvija v komunikacijsko in kibernetsko varnostno krizo za podjetje.
»30. januarja 2023 smo bili obveščeni o sumljivi dejavnosti znotraj določenih primerkov naše rešitve GoAnywhere MFTaaS,« pravi Fortra v izjavi, izdani za Dark Reading. "Takoj smo sprejeli več korakov za obravnavo tega, vključno z uvedbo začasne prekinitve te storitve, da preprečimo kakršno koli nadaljnjo nepooblaščeno dejavnost, in deljenjem smernic za ublažitev, ki vključujejo navodila našim strankam na mestu uporabe o uporabi razvitega popravka."
Fortra je dodala, da ostaja zavezana podpori svojim prizadetim uporabnikom.
"Vztrajno delamo, da obvestimo stranke, ki bi lahko bile prizadete, in uskladili smo se s CISA, da bi dodali informacije o tej ranljivosti v njihov katalog CVE, da bi razširili doseg informacij o tej težavi," dodaja izjava Fortrinega tiskovnega predstavnika. "To jemljemo zelo resno in našim strankam še naprej pomagamo pri izvajanju ukrepov za ublažitev te težave."
Fortrine komunikacije pod ognjem
Prva poročila o GoAnywhere zero-day je 2. februarja delilo spletno mesto z novicami o kibernetski varnosti KrebsOnSecurity, ki je potem, ko je našel svetovanje stlačeno za stranjo za prijavo, preprosto prilepil informacije, da jih lahko vidi javnost. Dnevi kasneje a popravek je bil izdan podjetja Fortra. Stave na zaostajanje popravkov so v naslednjih dneh akterji grožnje izsiljevalske programske opreme Clop lahko izkoristili. Agencija za kibernetsko varnost in varnost infrastrukture (CISA) je 10. februarja hrošča dodala na svoj seznam katalog znanih izkoriščanih ranljivosti.
Kljub temu so podjetja še naprej ujeta v tekočo kampanjo. In kljub Fortrinim zagotovilom so analitiki, strokovnjaki in opazovalci kibernetske varnosti zelo kritični do pomanjkanja komunikacije in počasnega odziva podjetja pri zagotavljanju navodil žrtvam in tarčam. Tudi površina napadov je široka, treba je opozoriti: glede na njegovo spletno stran se GoAnywhere uporablja v več kot 3,000 organizacijah za upravljanje dokumentov vseh vrst. In glede na podatki podjetja Enlyft, je večina teh velikih organizacij – z vsaj 1,000 in pogosto več kot 10,000 zaposlenimi – večinoma s sedežem v Združenih državah.
"Ta ni bil dobro sporočen, kar je izzvalo celo najboljše varnostne ekipe, da se odzovejo,« Heath Renfrow, soustanovitelj Fenix24, je povedal za Dark Reading kot odgovor na novo izdano izjavo Fortre. »To je dober primer, kako morajo varnostni strokovnjaki imeti več virov obveščevalnih podatkov o grožnjah – poleg svojih ponudnikov –, da pokrijejo vsako bazo. Kljub temu je bilo sporočeno zdaj in vsakdo, ki uporablja rešitev, bi moral nemudoma popraviti.”
Počasna komunikacija je lahko še posebej škodljiva v scenariju napada na dobavno verigo programske opreme, je dejal Dirk Schrader, podpredsednik varnostnih raziskav pri Netwrixu.
"Da bi preprečili nadaljnji razvoj napada na dobavno verigo, je ključnega pomena, da prva žrtev v vrsti odkrito in podrobno komunicira o tem, kaj se je zgodilo," je opozoril po elektronski pošti. »Pomaga drugim členom v tej verigi, da so pripravljeni na prihajajočo grožnjo, in zmanjša možno škodo. Verjetno je bil trenutni napad pospešen, ker podrobnosti o tem ničelnem dnevu niso bile razkrite pravočasno.«
Dark Reading je zaprosil Fortro za odgovor na kritike njenega ravnanja s kibernetsko varnostjo, vendar odgovora ni prejel. Medtem je Fortina stranka, mesto Toronto, na vprašanje o njeni komunikaciji s Fortro v zvezi s kršitvijo dala preprost odgovor po e-pošti: "Fortra je komunicirala z mestom in to še naprej počne."
To ni prvič, da so uporabniki izsiljevalske programske opreme Clop izvedli takšno množično kršitev. Uporabljen ruski FIN11 Clop ransomware decembra 2020, da bi skočil na podobno napako Accellion zero-day.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/attacks-breaches/clop-keeps-racking-up-ransomware-victims-with-goanywhere-flaw-
