A MOVEit feltörés 2023 egyik legnagyobb zsarolóprogram-támadása, és emberek millióit érintette világszerte.
Kulcs elvitelek
- A MOVEit feltörés, amelyet a Clop ransomware csoport hajtott végre, 2023 egyik legnagyobb feltörése, amely 2659 szervezetet és 67 millió embert érint.
- Az incidens kihasználta a MOVEit alkalmazás nulladik napi sebezhetőségét, így a támadók hozzáfértek a szoftvert használó szervezetek által tárolt érzékeny adatokhoz.
- Az oktatási szektort súlyosan érintette a jogsértés, és olyan egyetemek is voltak, mint a John Hopkins és a Webster University. Egyéb érintett ágazatok közé tartozik az egészségügy, a pénzügy és az üzleti élet.
Ön egy a MOVEit megsértése által érintett 62 millió ember közül? A MOVEit feltörése 2023 egyik legnagyobb feltörése, a Clop ransomware csoport több ezer szervezettől váltott ki váltságdíjat, és több tízmillió dollárt keresett.
Tehát mi az a MOVEit ransomware támadás, és hogyan érintett sok embert?
Mi az a MOVEit?
A MOVEit a Progress Software által kifejlesztett biztonságos fájlátviteli szoftver és szolgáltatás, amelyet arra terveztek, hogy megkönnyítse az érzékeny adatok biztonságos átvitelét szervezetek és egyének között. A MOVEit-et vállalkozások, kormányzati szervezetek, egyetemek és alapvetően minden entitás használják tárolja és kezeli adatait, lehetővé téve a vállalatok számára a fájlok és adatok biztonságos átvitelét azok védelme érdekében tól től
jogosulatlan hozzáférés vagy jogsértés.2023 májusában azonban ez megszűnt, mivel a Clop ransomware csoport több ezer olyan szervezet adatát törte fel, amelyek a MOVEIt-et használták adataik tárolására.
Hogyan történt a MOVEit megsértése?
2023 májusában a hírhedt Clop ransomware csoport több nulladik napi sebezhetőséget használt ki a MOVEIt alkalmazásban.
Nulladik napi sebezhetőség egy szoftverbiztonsági hiba, amelyet a gyártó vagy a nyilvánosság nem ismer, és amelyet a támadók kihasználnak, mielőtt javítás vagy javítás elérhető lenne. A nulladik napi sebezhetőségek különösen veszélyesek, mert az eladó tudta nélkül, nagyon hosszú ideig lopakodva kihasználhatók.
A Progress Software végül befoltozta ezeket a sebezhetőségeket, de már késő volt. Abban az időszakban, amikor a sérülékenység a nyilvánosság és a szállítók előtt ismeretlen volt, a támadók több ezer szervezet adataihoz fértek hozzá és törték fel azokat, amelyek adataik kezelésére és továbbítására a MOVEit-et használták.
A Clop ransomware csoport több SQL-befecskendezési sebezhetőséget fedezett fel a MOVEit alkalmazásban, lehetővé téve számukra a szervezetek adatbázisának elérését, valamint az adatok letöltését és megtekintését. Az SQL injekció egy biztonsági rés ahol rosszindulatú SQL kódot szúrnak be a beviteli mezőkbe, kihasználva egy adatbázis-támogatott alkalmazás sebezhetőségét. A jogosulatlan kód manipulálhatja az adatbázist, és potenciálisan érzékeny információkat fedhet fel vagy módosíthat.
Az SQL-befecskendezési biztonsági rések CVE-2023-34362, CVE-2023-35036 és CVE-2023-35708 néven vannak regisztrálva, és 2023. május 31-én, 2023. június 9-én és 2023. június 15-én lettek javítva. A MOVEit átviteli alkalmazás összes verziója sebezhető volt ezekkel a biztonsági résekkel szemben. Kihasználva lehetővé teszi a nem hitelesített támadó számára, hogy hozzáférjen a szervezet MOVEIt átviteli adatbázisának tartalmához. Ez azt jelenti, hogy a támadó korlátozás nélkül letölthet, módosíthat vagy akár törölhet adatbázisokat.
A MOVEit megsértésének hatása
Az Emisoft elemzése szerint valamint a MOVEit adatvédelmi incidens statisztikája, 2023. november 9-én 2659 szervezetet érintett a MOVeit incidens, és több mint 67 millió embert érintettek a főként az Egyesült Államokban, Kanadában, Németországban és az Egyesült Királyságban működő szervezetek.
Az oktatás a leginkább érintett ágazat, számos egyetem adatait szippantják be ezek a támadók. A jogsértés által érintett oktatási szervezetek közé tartozik New York város állami iskolarendszere, John A Hopkins Egyetemen, az Alaszkai Egyetemen és a Webster Egyetemen, többek között egyetemek. A jogsértés által nagymértékben érintett ágazatok közé tartozik az egészségügyi szektor, a bankok, a pénzintézetek és a vállalkozások.
A MOVEit ransomware által érintett ismertebb szervezetek közé tartozik a BBC, a Shell, a Siemens Energy, az Ernst &Young és a British Airways.
202. szeptember 25-én a terhes-, újszülött- és gyermeknyilvántartó szolgálat vezetőOntario SZÜLETETT, kiadott egy közleményt a MOVEit megsértésével kapcsolatban, amelyből kiderül, hogy a MOVEit megsértése érintette őket. Jelentésük szerint a MOVEit sebezhetősége lehetővé tette, hogy illetéktelen, rosszindulatú külső szereplők hozzáférjenek és másolják a a BORN Ontario rekordokban található személyes egészségügyi adatok, amelyeket a biztonságos fájlátviteli szoftverrel továbbítottak.
Válaszul a Born Ontario azonnal izolálta a rendszert, leszerelte az érintett szervert, és elindított egy kiberbiztonsági szakértőkkel együttműködve, hogy megbizonyosodjon a súlyosságról és a konkrét adatokról lopott.
Sok ilyen szervezetet nem azért törtek fel, mert a MOVEit alkalmazást használták, hanem azért, mert ők pártfogolt harmadik fél szállítókat, akik a MOVEit átviteli alkalmazást használták, aminek köszönhetően megszerezték is megsértették. Hasonló a helyzet más szervezeteknél is, több milliárd dollárba kerül a ransomware kifizetések és egyéb biztonsági javítások.
Önt érintette a MOVEit megsértése. Mi a következő?
Ha továbbra is a MOVEit-et használja, azonnal javítsa a legújabb verzióra, hogy megakadályozza, hogy a hackerek ellopják fájljait és adatait. Az internet és az azt használó szoftverek sajnos hajlamosak a hackekre és a zsarolóprogramokra, ezért meg kell őriznie magát és eszközei biztonságban vannak a jelszavak rendszeres megváltoztatásával, a víruskereső szoftver használatával és a többtényezős engedélyezéssel hitelesítés.
Ennek ellenére, ahogy a MOVEit feltörése is mutatja, mindezt megteheti, és egy csapat hacker talál egy korábban soha nem látott kihasználást.