Clop fidye yazılımı çetesi, MOVEit Transfer veri hırsızlığı saldırılarının arkasında olduklarını BleepingComputer’a açıkladı. Çok sayıda şirketin sunucularına sızarak veri çaldıkları bu saldırılarda, bir zero-day güvenlik açığı kullanıldığı doğrulandı.
Microsoft’un ‘Lace Tempest’ olarak takip ettiği hacker grubuna, yani TA505 ve FIN11 olarak da bilinen bu grubun arkasında olduklarını belirten Clop temsilcisi, güvenlik açığını 27 Mayıs’ta, Amerika Birleşik Devletleri’nin uzun süreli Memorial Day tatili sırasında sömürmeye başladıklarını doğruladı. Daha önce Mandiant tarafından açıklanan bilgilere göre, tatillerin etrafında saldırı düzenlemek, personelin en az olduğu zamanlarda gerçekleşen büyük ölçekli sömürü saldırıları, Clop fidye yazılımı operasyonunun yaygın bir taktiğidir.
Örneğin, 2020 yılının 23 Aralık’ında, Noel tatilinin başında Accellion FTA zero-day güvenlik açığından faydalanarak veri çalmışlardı.
Clop, MOVEit Transfer saldırılarında kaç şirketin etkilendiğini paylaşmamakla birlikte, fidye ödenmezse kurbanların veri sızıntı sitesinde yayınlanacağını belirtti.
Ayrıca, fidye yazılımı çetesi, henüz kurbanları şantaj etmeye başlamadıklarını, muhtemelen zamanı kullanarak verileri incelediklerini ve değerli olanı belirleyerek saldırıya uğrayan şirketlerden fidye talepleri için nasıl kullanılabileceğini değerlendirdiklerini doğruladı.
Clop, geçmişteki GoAnywhere MFT saldırılarında da, kuruluşlara fidye taleplerini e-posta ile iletmek için bir aydan daha fazla beklemişti.
Son olarak, fidye yazılımı çetesi, BleepingComputer’a isteksizce, bu saldırılar sırasında hükümetlerin, askeri birimlerin ve çocuk hastanelerinin verilerini sildiklerini belirtti.
Clop, e-postasında “Söylemek istiyorum ki, askeri birimler, çocuk hastaneleri, HÜK vb. gibi hedeflenen kurumları saldırmadık ve onların verileri silindi” dedi.
BleepingComputer, bu iddiaların doğruluğunu doğrulayamaz ve herhangi bir veri hırsızlığı saldırında olduğu gibi, etkilenen tüm kuruluşların verilerin kötüye kullanıma açık olduğunu varsayması gerektiğini hatırlatır.
Clop, başlangıçta bir fidye yazılımı operasyonu olarak başlasa da, grup daha önce BleepingComputer’a belirttiği gibi şifreleme yerine veri hırsızlığı ve şantajı tercih etmeye başladı.
Ayrıca, ilk kurbanlar Clop’un MOVEit veri hırsızlığı saldırılarından etkilenen şirketlerden gelen ilk açıklamaları gördük.
İngiltere merkezli maaş ve insan kaynakları çözümleri sağlayıcısı Zellis, bu saldırılar nedeniyle veri ihlali yaşadıklarını ve müşterilerinden bazılarını etkilediğini doğruladı.
Zellis, “Dünya çapında birçok şirket, Progress Software’in MOVEit Transfer ürününde zero-day güvenlik açığı nedeniyle etkilendi” açıklamasını yaptı.
“Az sayıda müşterimizin bu küresel sorundan etkilendiğini doğrulayabiliriz ve onları desteklemek için aktif olarak çalışıyoruz. Zellis’e ait yazılımlar etkilenmemiş olup, IT altyapımızın herhangi bir kısmında da herhangi bir sorun veya ihlal bulunmamaktadır.”
Aer Lingus, Zellis MOVEit saldırısı yoluyla bir ihlal yaşadıklarını doğruladı.
Ancak Aer Lingus’un açıklamasında, “Ancak, bu olayda Aer Lingus’un mevcut veya eski çalışanlarına ait finansal veya banka bilgilerinin etkilenmediği doğrulandı” denildi.
Aynı şekilde, British Airways’in de Zellis ihlalinden etkilendiği doğrulandı.
Ne yazık ki, daha önceki Clop saldırılarında olduğu gibi, yönetilen dosya transferi platformlarına yönelik bu saldırılarla ilgili olarak ilerleyen süreçte birçok şirketin açıklama yapması bekleniyor.
