Czy byłeś ofiarą naruszenia MOVEit? Oto, co musisz wiedzieć

Kluczowe dania na wynos

• Włamanie MOVEit, przeprowadzone przez grupę ransomware Clop, to jeden z największych hacków w 2023 roku, który dotknął 2659 organizacji i 67 milionów ludzi.
• Włamanie wykorzystało luki typu zero-day w aplikacji MOVEit, dając atakującym dostęp do wrażliwych danych przechowywanych przez organizacje korzystające z oprogramowania.
• Włamanie mocno ucierpiało na sektorze edukacji, a wśród ataków znalazły się uniwersytety takie jak John Hopkins i Webster University. Inne sektory, których to dotyczy, to zdrowie, finanse i biznes.

Czy jesteś jedną z 62 milionów osób dotkniętych naruszeniem MOVEit? Włamanie do systemu MOVEit to jeden z największych ataków hackerskich w 2023 r., w ramach którego grupa ransomware Clop dokonała okupu od tysięcy organizacji i zrabowała dziesiątki milionów dolarów.

Czym zatem jest atak ransomware MOVEit i jaki wpływ ma na tak wiele osób?

Co to jest MOVEit?

MOVEit to bezpieczne oprogramowanie i usługa do przesyłania plików opracowana przez Progress Software, zaprojektowana w celu ułatwienia bezpiecznego przesyłania wrażliwych danych pomiędzy organizacjami i osobami. MOVEit jest używany przez firmy, organizacje rządowe, uniwersytety i zasadniczo każdy podmiot, który to robi przechowuje i zarządza swoimi danymi, umożliwiając firmom bezpieczne przesyłanie plików i danych w celu ich ochrony z nieuprawniony dostęp lub naruszenia.

Jednak w maju 2023 r. przestało to mieć miejsce, ponieważ grupa ransomware Clop włamała się do danych tysięcy organizacji, które wykorzystywały MOVEIt do swoich danych.

Jak doszło do naruszenia prawa MOVEit?

W maju 2023 r. niesławna grupa ransomware Clop wykorzystała wiele luk dnia zerowego w aplikacji MOVEIt.

Luka typu zero-day to luka w zabezpieczeniach oprogramowania nieznana dostawcy ani opinii publicznej i wykorzystywana przez osoby atakujące przed udostępnieniem poprawki lub łatki. Luki typu zero-day są szczególnie niebezpieczne, ponieważ można je potajemnie wykorzystać bez wiedzy dostawcy przez bardzo długi czas.

Firma Progress Software w końcu załatała te luki, ale było już za późno. W okresie, gdy luka nie była znana opinii publicznej ani dostawcom, osoby atakujące uzyskały dostęp do danych tysięcy organizacji, które korzystały z MOVEit do zarządzania swoimi danymi i ich przesyłania, i naruszały je.

Grupa ransomware Clop odkryła wiele luk w zabezpieczeniach polegających na wstrzykiwaniu kodu SQL w aplikacji MOVEit, umożliwiając im dostęp do bazy danych organizacji oraz pobieranie i przeglądanie danych. Wstrzyknięcie SQL stanowi lukę w zabezpieczeniach gdzie do pól wejściowych wstawiany jest złośliwy kod SQL, wykorzystując luki w aplikacji opartej na bazie danych. Nieautoryzowany kod może manipulować bazą danych, potencjalnie ujawniając lub zmieniając poufne informacje.

Luki w zabezpieczeniach związane z iniekcją SQL są zarejestrowane jako CVE-2023-34362, CVE-2023-35036 i CVE-2023-35708 i zostały załatane odpowiednio 31 maja 2023 r., 9 czerwca 2023 r. i 15 czerwca 2023 r. Wszystkie wersje aplikacji do przesyłania danych MOVEit były podatne na te luki. Wykorzystane umożliwia nieuwierzytelnionemu atakującemu uzyskanie dostępu do zawartości bazy danych transferu MOVEIt organizacji. Oznacza to, że osoba atakująca może pobierać, zmieniać, a nawet usuwać bazy danych bez żadnych ograniczeń.

Wpływ naruszenia MOVEit

Według analizy Emisoftu oraz statystyki dotyczące naruszenia danych MOVEit, według stanu na 9 listopada 2023 r. naruszenie MOVeit dotknęło 2659 organizacji, a ponad 67 milionów osób dotknęło organizacje działające głównie w Stanach Zjednoczonych, Kanadzie, Niemczech i Wielkiej Brytanii.

Najbardziej dotkniętym sektorem jest edukacja, a atakujący wykradają dane z wielu uniwersytetów. Organizacje edukacyjne dotknięte tym naruszeniem obejmują system szkół publicznych w Nowym Jorku, John Popularne są między innymi Uniwersytet Hopkinsa, Uniwersytet Alaski i Uniwersytet Webstera uniwersytety. Inne sektory, na które to naruszenie ma duży wpływ, to sektor zdrowia, banki, instytucje finansowe i przedsiębiorstwa.

Do bardziej znanych organizacji dotkniętych oprogramowaniem ransomware MOVEit należą BBC, Shell, Siemens Energy, Ernst &Young i British Airways.

W dniu 25 września 202 r. prowadząca rejestrację prenatalną, noworodkową i dziecięcą,Urodzony w Ontario, wydało oświadczenie w sprawie naruszenia MOVEit, w którym ujawniło, że naruszenie MOVEit dotknęło ich. Według ich raportu luka w zabezpieczeniach MOVEit umożliwiła nieautoryzowanym złośliwym podmiotom zewnętrznym dostęp do plików i ich kopiowanie dane osobowe dotyczące zdrowia zawarte w aktach BORN Ontario, które zostały przesłane przy użyciu oprogramowania do bezpiecznego przesyłania plików.

W odpowiedzi firma Born Ontario natychmiast odizolowała system, wyłączyła serwer, którego dotyczył problem, i uruchomiła dochodzenie, współpracując z ekspertami ds. cyberbezpieczeństwa, aby ustalić powagę i jakie konkretne dane były skradziony.

Wiele z tych organizacji zostało zhakowanych nie dlatego, że korzystały z aplikacji MOVEit, ale dlatego, że to zrobiły patronowali zewnętrznym dostawcom, którzy korzystali z aplikacji do przesyłania MOVEit, co doprowadziło do ich otrzymania również naruszone. Podobna sytuacja jest w przypadku innych organizacji, co kosztuje miliardy dolarów w postaci płatności za oprogramowanie ransomware i inne poprawki bezpieczeństwa.

Zostałeś dotknięty naruszeniem MOVEit. Co następne?

Jeśli nadal używasz MOVEit, natychmiast zaktualizuj go do najnowszej wersji, aby zapobiec kradzieży plików i danych przez hakerów. Internet i oprogramowanie, które z niego korzysta, są niestety podatne na ataki hakerskie i oprogramowanie ransomware, dlatego musisz się chronić a Twoje zasoby będą bezpieczne, regularnie zmieniając hasła, korzystając z oprogramowania antywirusowego i umożliwiając korzystanie z wielu czynników uwierzytelnianie.

Jednak, jak pokazuje naruszenie MOVEit, możesz zrobić to wszystko, a zespół hakerów znajdzie exploit, jakiego nigdy wcześniej nie widziano.