Η συμμορία Ransomware Clop ανακοίνωσε τα πρώτα "θύματα" της, συμπεριλαμβανομένων τραπεζών και πανεπιστημίων

Η Clop, η συμμορία ransomware που ευθύνεται για την εκμετάλλευση μιας κρίσιμης ευπάθειας ασφαλείας σε ένα δημοφιλές εταιρικό εργαλείο μεταφοράς αρχείων, έχει αρχίσει να απαριθμεί τα θύματα των μαζικών επιθέσεων, συμπεριλαμβανομένων πολλών αμερικανικών τραπεζών και πανεπιστημίων.

Η συμμορία ransomware που συνδέεται με τη Ρωσία εκμεταλλεύεται το κενό ασφαλείας στο MOVEit Transfer, από τα τέλη Μαΐου. To MOVEit Transfer είναι ένα εργαλείο που χρησιμοποιείται από εταιρείες και επιχειρήσεις για την κοινή χρήση μεγάλων αρχείων μέσω του διαδικτύου. Η Progress Software, η οποία αναπτύσσει το λογισμικό MOVEit, επιδιόρθωσε την ευπάθεια - αλλά όχι προτού οι χάκερς θέσουν σε κίνδυνο έναν αριθμό πελατών της.

Ενώ ο ακριβής αριθμός των θυμάτων παραμένει άγνωστος, η Clop την Τετάρτη απαρίθμησε την πρώτη παρτίδα οργανισμών που λέει ότι παραβίασε εκμεταλλευόμενη το ελάττωμα του MOVEit. Ο κατάλογος των θυμάτων, ο οποίος αναρτήθηκε στον  στο δικτυακό τόπο της Clop στο dark web, περιλαμβάνει οργανισμούς χρηματοπιστωτικών υπηρεσιών με έδρα τις ΗΠΑ, την 1st Source και την First National Bankers Bank, την εταιρεία διαχείρισης επενδύσεων Putnam Investments με έδρα τη Βοστώνη, την ολλανδική Landal Greenparks και τον βρετανικό ενεργειακό γίγαντα Shell. Η GreenShield Canada, ένας μη κερδοσκοπικός φορέας παροχών που παρέχει παροχές υγείας και οδοντιατρικές παροχές, περιλαμβανόταν στον ιστότοπο διαρροής, αλλά έκτοτε έχει αφαιρεθεί. Άλλα θύματα που αναφέρονται είναι ο πάροχος χρηματοοικονομικού λογισμικού Datasite, η εκπαιδευτική μη κερδοσκοπική εταιρεία National Student Clearinghouse, ο πάροχος φοιτητικής ασφάλισης υγείας United Healthcare Student Resources, ο αμερικανικός κατασκευαστής Leggett & Platt, η ελβετική ασφαλιστική εταιρεία ÖKK και το Πανεπιστημιακό Σύστημα της Γεωργίας (USG). Εκπρόσωπος του USG, ο οποίος δεν έδωσε το όνομά του, δήλωσε στο TechCrunch ότι το πανεπιστήμιο "αξιολογεί το εύρος και τη σοβαρότητα αυτής της πιθανής έκθεσης δεδομένων. Εάν είναι απαραίτητο, σύμφωνα με την ομοσπονδιακή και πολιτειακή νομοθεσία, θα εκδοθούν ειδοποιήσεις σε τυχόν άτομα που επηρεάζονται". Ο Florian Pitzinger, εκπρόσωπος της γερμανικής εταιρείας μηχανολόγων μηχανικών Heidelberg, την οποία η Clop ανέφερε ως θύμα, δήλωσε στο TechCrunch σε δήλωσή του ότι η εταιρεία "γνωρίζει πολύ καλά την αναφορά της στον ιστότοπο Tor του Clop και το περιστατικό που συνδέεται με ένα λογισμικό προμηθευτή". Ο εκπρόσωπος πρόσθεσε ότι "το περιστατικό συνέβη πριν από μερικές εβδομάδες, αντιμετωπίστηκε γρήγορα και αποτελεσματικά και με βάση την ανάλυσή μας δεν οδήγησε σε παραβίαση δεδομένων".

Η Clop, η οποία, όπως και άλλες συμμορίες ransomware, συνήθως επικοινωνεί με τα θύματά της για να απαιτήσει την καταβολή λύτρων για να αποκρυπτογραφήσει ή να διαγράψει τα κλεμμένα αρχεία τους, αυτή τη φορά δεν επικοινώνησε με τους οργανισμούς που είχε παραβιάσει. Αντ' αυτού, απάντησαν μαζικά με ένα μήνυμα που αναρτήθηκε στον ιστότοπο της συμμορίας στο dark web, με το οποίο ενημέρωσαν τα θύματα να επικοινωνήσουν πριν από την προθεσμία της 14ης Ιουνίου. Ακόμα δεν έχουν δημοσιευθεί κλεμμένα δεδομένα κατά τη στιγμή της συγγραφής του παρόντος, αλλά η Clop λέει στα θύματα ότι έχει κατεβάσει "πολλά από τα δεδομένα σας".

Πολλοί οργανισμοί έχουν αποκαλύψει προηγουμένως ότι εκτέθηκαν σε κίνδυνο ως αποτέλεσμα των επιθέσεων, όπως το BBC, η Aer Lingus και η British Airways. Όλοι αυτοί οι οργανισμοί επηρεάστηκαν επειδή βασίζονται στον προμηθευτή λογισμικού ανθρώπινου δυναμικού και μισθοδοσίας Zellis, ο οποίος επιβεβαίωσε ότι το σύστημα MOVEit του είχε παραβιαστεί. Η κυβέρνηση της Νέας Σκωτίας, η οποία χρησιμοποιεί το MOVEit για την κοινή χρήση αρχείων μεταξύ των υπηρεσιών, επιβεβαίωσε επίσης ότι επηρεάστηκε και ανέφερε σε ανακοίνωσή της ότι ενδέχεται να έχουν τεθεί σε κίνδυνο οι προσωπικές πληροφορίες ορισμένων πολιτών. Ωστόσο, σε ένα μήνυμα στον ιστότοπό της συμμορίας, αναφέρει ότι "αν είστε κυβέρνηση, πόλη ή αστυνομική υπηρεσία... σβήσαμε όλα τα δεδομένα σας".

Το Πανεπιστήμιο Johns Hopkins επιβεβαίωσε αυτή την εβδομάδα ένα περιστατικό κυβερνοασφάλειας που πιστεύεται ότι σχετίζεται με τη μαζική εισβολή στο MOVEit. Σε ανακοίνωσή του, το πανεπιστήμιο ανέφερε ότι η παραβίαση δεδομένων "ενδέχεται να έχει επηρεάσει ευαίσθητες προσωπικές και οικονομικές πληροφορίες", συμπεριλαμβανομένων ονομάτων, στοιχείων επικοινωνίας και αρχείων τιμολόγησης υγείας. Η Ofcom, η ρυθμιστική αρχή επικοινωνιών του Ηνωμένου Βασιλείου, δήλωσε επίσης ότι ορισμένες εμπιστευτικές πληροφορίες είχαν τεθεί σε κίνδυνο κατά τη μαζική παραβίαση του MOVEit. Σε ανακοίνωσή της, η ρυθμιστική αρχή επιβεβαίωσε ότι οι χάκερς απέκτησαν πρόσβαση σε ορισμένα δεδομένα σχετικά με τις εταιρείες που ρυθμίζει, μαζί με τις προσωπικές πληροφορίες 412 υπαλλήλων της Ofcom. Η Transport for London (TfL), ο κυβερνητικός φορέας που είναι υπεύθυνος για τη λειτουργία των υπηρεσιών μεταφορών του Λονδίνου, και η παγκόσμια εταιρεία συμβούλων Ernst and Young, επηρεάστηκαν επίσης, σύμφωνα με το BBC News. 

Πολλά περισσότερα θύματα αναμένεται να αποκαλυφθούν τις επόμενες ημέρες και εβδομάδες, με χιλιάδες διακομιστές MOVEit - οι περισσότεροι από τους οποίους βρίσκονται στις Ηνωμένες Πολιτείες - να μπορούν ακόμη να ανακαλυφθούν στο διαδίκτυο. Οι ερευνητές αναφέρουν επίσης ότι η Clop μπορεί να εκμεταλλευόταν την ευπάθεια του MOVEit ήδη από το 2021. Η αμερικανική εταιρεία παροχής συμβουλών σε θέματα κινδύνου Kroll ανέφερε σε έκθεσή της ότι ενώ η ευπάθεια ήρθε στο φως μόλις στα τέλη Μαΐου, οι ερευνητές της εντόπισαν δραστηριότητα που υποδεικνύει ότι η Clop πειραματιζόταν με τρόπους εκμετάλλευσης της συγκεκριμένης ευπάθειας για σχεδόν δύο χρόνια.

Το εύρημα αυτό καταδεικνύει την εξελιγμένη γνώση και τον σχεδιασμό που απαιτούνται για γεγονότα μαζικής εκμετάλλευσης, όπως η κυβερνοεπίθεση MOVEit Transfer

δήλωσαν οι ερευνητές της Kroll.

Η Clop ήταν επίσης υπεύθυνος για προηγούμενες μαζικές επιθέσεις που εκμεταλλεύτηκαν ελαττώματα στο εργαλείο μεταφοράς αρχείων GoAnywhere της Fortra και στην εφαρμογή μεταφοράς αρχείων της Accellion.