Bitmek üzere olan 2023 yılının şüphesiz en kötü haberi bu. MOVEit güvenli aktarım yazılımının Cl0p siber suçluları tarafından geçen Mayıs ayının sonunda tespit edildiği saldırı, etkileyici sayıda kurbanla sonuçlandı. BT güvenlik şirketinin son sayısında 2.691 kuruluş olarak derecelendirildi Emsisoft.
Son kurban diş sigortası grubu Delta Dental’dir. Şirket az önce rapor gecikmeli olarak 7 milyon Amerikalı müşterisinden banka bilgileri de dahil olmak üzere kişisel bilgilerin çalınması. Fransa’da iki şirket özellikle etkilendi; tıbbi teşhis hizmetleri sağlayıcısı Synlab ve sağlık ve sigorta profesyonellerine yönelik iş yazılımı uzmanı Cegedim.
Emsisoft’un da kabul ettiği gibi bu hacklerin maliyetini hesaplamak mümkün değil. Birine göre IBM araştırmasıBir veri ihlalinin maliyeti ortalama 165$’dır. MOVEit hackinden etkilenen 91 milyon insan göz önüne alındığında, bu durum yaklaşık 15 milyar dolarlık potansiyel bir astronomik faturayla sonuçlanıyor.
Web uygulamasındaki kusur
Bu büyük ölçekli saldırı için Cl0p, dosya aktarma yazılımının web uygulamasında keşfedilen bir kusurdan yararlandı. SQL enjeksiyon saldırısına karşı savunmasız olan bu sistem, siber suçluların, saldırıya uğrayan hesaplardaki mevcut verileri dışarı çıkarmadan önce kendilerini kullanıcılardan biri olarak doğrulamalarına olanak tanıdı.
Bilgisayar güvenliği uzmanları daha sonra saldırının fidye yazılımının yayılmasıyla sonuçlanmadığını fark etti. Muhtemelen daha hızlı gitmek ve tespit edilmekten kaçınmak için. Çete vardı ayrıca destekleniyor çalınan verileri yayınlamak için torrentlerde. Veya Tor sitesine göre çok daha hızlı dağıtımla kurbanları üzerindeki baskıyı artırmanın bir yolu.
2021’de tespit edilen güvenlik açığı
Bu yıkıcı saldırı dikkatlice planlandı. Danışmanlık şirketi için KrollCl0p siber suçluları “muhtemelen 2021 gibi erken bir tarihte bu güvenlik açığından yararlanmanın yollarını deniyordu.” Firma ayrıca otomatik bir istismar zinciri olan saldırının zamanlamasının ABD’deki tatil hafta sonuna denk geldiğini belirtiyor.
Cl0p siber suç çetesi, bilgisayar güvenliği araştırmacıları tarafından TA505 olarak tanımlanıyor. Neredeyse on yıldır takip edilen bu Rusça konuşan grup, “olgun ve kültürlü” olarak tanımlanıyor. Ansi. Dikkatlice düşünülmüş bir stratejinin sonucu olan MOVEit’e yönelik bu saldırının kanıtı.
Siber suç uzmanlığı
Anssi’nin belirttiği gibi, “güvenli dosya aktarım çözümlerindeki güvenlik açıklarından yararlanılması rastgele görünmüyor”. Büyük kuruluşların kullandığı bu uygulamalar “çok sayıda belgeye anında erişim” sağlıyor. Fransız siber itfaiyeci, “Muhtemelen bu grup uzmanlık geliştirmiş ve tedarik zinciri saldırılarına benzer kampanyaların bir parçası olarak bu çözüm kategorisindeki diğer uygulamalardan yararlanmaya çalışıyor” diye uyarıyor.
Siber suçlular için oyun açıkça buna değer. Araştırma şirketi Chainalytic’e göre, alıntılanan Dünya, hack hileli bir şekilde yaklaşık yüz milyon dolar fidye toplamayı mümkün kılacaktı. Temmuz ayında müzakere uzmanı Kapak takımı Siber suçluların kârının muhtemelen 75 milyon ila 100 milyon dolar arasında olacağını tahmin etmişti.
Çok yüksek fidye ödemeye hazır az sayıda kurbandan zorla meblağlar alındığını da sözlerine ekledi. Artık yeni suç eylemlerini finanse etmek için kullanılması gereken bir savaş sandığı.