勒索软体黑客组织Clop发起MFT档案共享系统MOVEit Transfer零时差漏洞攻击,近六百家企业机构遭殃,亦有部分组织因IT服务供应商遭受攻击而受害,且规模持续扩大。
这起事故发生迄今快2个月,从当初指出攻击者的身份,到黑客组织坦诚犯案、公布受害组织名单,后来则有部分企业与公家机关证实遭遇相关攻击。但相较于先前的事故,这次有许多不同的地方。
黑客利用的漏洞与Progress在5月31日公布的SQL注入漏洞有关──此漏洞能允许未经身分验证的攻击者取得数据库权限,而能截取MOVEit所采用的数据库内容。
而对于攻击者的身份,微软威胁情报团队于5日表示,根据他们的调查,很有可能就是勒索软体黑客组织Clop所为,理由是该组织也曾利用类似的漏洞来窃取资料,并向受害组织勒索。
最早证实遭到攻击的组织约于6月5日出现,包含了英国航空、英国广播公司(BBC)、薪资系统服务供应商Zellis、加拿大新斯科舍省政府等。
而对于微软的指控,Clop透露,这起攻击行动就是他们所为,并宣称开始发动攻击的时间是5月27日,但不愿透露入侵此种档案共享系统服务器的数量,仅表示他们即将向受害组织进行勒索,要求这些组织于6月14日前进行谈判。
勒索软件Clop于6月14日公布1份受害组织名单,总共列出13个对象,其中包含了石油公司壳牌、保险公司、格鲁吉亚大学、乔治亚大学系统等。
6月15日,这些黑客又公布14个受害组织。这些单位大部分来自美国,其中有3个为欧洲组织,分别是位于法国、瑞士、卢林堡的组织,而且,主要是金融服务业、但也有医疗保健、制药厂,以及科技产业。
6月16日美国东部时间上午,又有10个受害组织被黑客列入名单,值得留意的是,这次开始有亚洲的组织出现。截至目前为止,有58个组织被列于黑客的网站上。
从事件发生之后,Progress总共修补了6个CVE漏洞,不同程度的MOVEit Transfer修补层级,IT人员需要采取的更新步骤也不同,使得修补工作变得更为复杂。
转自E安全,原文链接:https://mp.weixin.qq.com/s/O8vxe2pwYhiZ3jWHTYFxNA
封面来源于网络,如有侵权请联系删除