MOVEit pārkāpums ir viens no 2023. gada lielākajiem izspiedējvīrusu uzbrukumiem, un tas ir skāris miljoniem cilvēku visā pasaulē.
Key Takeaways
- MOVEit pārkāpums, ko veica Clop ransomware grupa, ir viens no lielākajiem 2023. gada uzlaušanas gadījumiem, kas ietekmēja 2659 organizācijas un 67 miljonus cilvēku.
- Pārkāpumā tika izmantotas MOVEit lietojumprogrammas nulles dienas ievainojamības, sniedzot uzbrucējiem piekļuvi sensitīviem datiem, ko glabājušas organizācijas, kas izmanto programmatūru.
- Pārkāpums smagi skāra izglītības nozari, un starp tām tika vērstas tādas universitātes kā Džona Hopkinsa un Vebsteras universitāte. Citas ietekmētās nozares ir veselība, finanses un uzņēmējdarbība.
Vai jūs esat viens no 62 miljoniem cilvēku, kurus skārusi MOVEit pārkāpums? MOVEit pārkāpums ir viens no lielākajiem 2023. gada uzlaušanas gadījumiem, jo Clop ransomware grupa izpirka tūkstošiem organizāciju un nopelnīja desmitiem miljonu dolāru.
Tātad, kas ir MOVEit izpirkuma programmatūras uzbrukums, un kā tas ir ietekmējis tik daudz cilvēku?
Kas ir MOVEit?
MOVEit ir Progress Software izstrādāta droša failu pārsūtīšanas programmatūra un pakalpojums, kas paredzēts, lai atvieglotu sensitīvu datu pārsūtīšanu starp organizācijām un privātpersonām. MOVEit izmanto uzņēmumi, valdības organizācijas, universitātes un būtībā jebkura vienība, kas uzglabā un pārvalda savus datus, ļaujot uzņēmumiem droši pārsūtīt failus un datus, lai tos aizsargātu no nesankcionēta piekļuve vai pārkāpumi.
Tomēr 2023. gada maijā tas vairs nepastāv, jo Clop izspiedējvīrusu grupa uzlauza tūkstošiem organizāciju datus, kas saviem datiem izmantoja MOVEIt.
Kā notika MOVEit pārkāpums?
2023. gada maijā bēdīgi slavenā Clop ransomware grupa izmantoja vairākas nulles dienas ievainojamības lietojumprogrammā MOVEIt.
Nulles dienas ievainojamība ir programmatūras drošības trūkums, kas nav zināms pārdevējam vai sabiedrībai, un uzbrucēji to izmanto, pirms ir pieejams labojums vai ielāps. Nulles dienas ievainojamības ir īpaši bīstamas, jo tās var zagšus izmantot bez pārdevēja ziņas ļoti ilgu laiku.
Programmatūra Progress galu galā aizlāpa šīs ievainojamības, taču jau bija par vēlu. Laikā, kad ievainojamība nebija zināma sabiedrībai un pārdevējiem, uzbrucēji piekļuva tūkstošiem organizāciju datiem, kas izmantoja MOVEit, lai pārvaldītu un pārsūtītu savus datus.
Izspiedējvīrusu grupa Clop atklāja vairākas SQL injekcijas ievainojamības lietojumprogrammā MOVEit, ļaujot piekļūt organizāciju datubāzei un lejupielādēt un skatīt datus. SQL injekcija ir ievainojamība kur ievades laukos tiek ievietots ļaunprātīgs SQL kods, izmantojot datubāzes atbalstītas lietojumprogrammas ievainojamības. Neatļauts kods var manipulēt ar datu bāzi, iespējams, atklājot vai mainot sensitīvu informāciju.
SQL injekcijas ievainojamības ir reģistrētas kā CVE-2023-34362, CVE-2023-35036 un CVE-2023-35708, un tās tika labotas attiecīgi 2023. gada 31. maijā, 2023. gada 9. jūnijā un 2023. gada 15. jūnijā. Visas MOVEit pārsūtīšanas lietojumprogrammas versijas bija neaizsargātas pret šīm ievainojamībām. Izmantojot, tas ļauj neautentificētam uzbrucējam piekļūt organizācijas MOVEIt pārsūtīšanas datu bāzes saturam. Tas nozīmē, ka uzbrucējs var lejupielādēt, mainīt vai pat dzēst datu bāzes bez jebkādiem ierobežojumiem.
MOVEit pārkāpuma ietekme
Saskaņā ar Emisoft analīzi un statistiku par MOVEit datu pārkāpumu, uz 2023. gada 9. novembri, MOVeit pārkāpums ir skāris 2659 organizācijas, un vairāk nekā 67 miljoni cilvēku ir cietuši no organizācijām, kas galvenokārt atrodas Amerikas Savienotajās Valstīs un Kanādā, Vācijā un Apvienotajā Karalistē.
Izglītība ir visvairāk ietekmētā nozare, un šie uzbrucēji izsūc daudzu universitāšu datus. Izglītības organizācijas, kuras skārusi šis pārkāpums, ir Ņujorkas valsts skolu sistēma Džons Hopkinsa universitāte, Aļaskas universitāte un Vebstera universitāte, cita starpā populāra universitātes. Citas nozares, kuras būtiski ietekmējis šis pārkāpums, ir veselības nozare, bankas, finanšu iestādes un uzņēmumi.
Dažas no pazīstamākajām organizācijām, kuras skārusi MOVEit izpirkuma programmatūra, ir BBC, Shell, Siemens Energy, Ernst &Young un British Airways.
202. gada 25. septembrī vadošais pirmsdzemdību, jaundzimušo un bērnu reģistra dienests,dzimusi Ontario, publicēja paziņojumu par MOVEit pārkāpumu, atklājot, ka viņus ir ietekmējis MOVEit pārkāpums. Saskaņā ar viņu ziņojumu MOVEit ievainojamība ļāva nesankcionētiem ļaunprātīgiem trešo pušu dalībniekiem piekļūt un kopēt personas veselības informācija, kas ietverta BORN Ontario ierakstos, kas tika pārsūtīti, izmantojot drošo failu pārsūtīšanas programmatūru.
Atbildot uz to, Born Ontario nekavējoties izolēja sistēmu, pārtrauca izmantotā servera darbību un palaida izmeklēšanu, sadarbojoties ar kiberdrošības ekspertiem, lai noskaidrotu nopietnību un konkrētus datus nozagts.
Daudzas no šīm organizācijām tika uzlauztas nevis tāpēc, ka tās izmantoja lietojumprogrammu MOVEit, bet gan tāpēc, ka tās patronizēti trešo pušu pārdevēji, kuri izmantoja MOVEit pārsūtīšanas lietojumprogrammu, kā rezultātā viņi ieguva arī pārkāpts. Līdzīga situācija ir arī citām organizācijām, kas maksā miljardiem dolāru izpirkuma programmatūras maksājumos un citos drošības labojumos.
Jūs esat skāris MOVEit pārkāpums. Kas tālāk?
Ja joprojām izmantojat MOVEit, nekavējoties ielāpējiet to uz jaunāko versiju, lai novērstu jūsu failu un datu nozagšanu no šiem hakeriem. Diemžēl internets un programmatūra, kas to izmanto, ir pakļauti uzlaušanai un izpirkuma programmatūrai, un jums ir jāsaglabā un jūsu līdzekļi ir aizsargāti, regulāri mainot paroles, izmantojot pretvīrusu programmatūru un iespējojot daudzfaktoru darbību autentifikācija.
Tomēr, kā liecina MOVEit pārkāpums, jūs varat to visu izdarīt, un hakeru komanda atradīs vēl neredzētu izmantošanu.
