Clop ランサムウェア ギャングは、MOVEit データ盗難攻撃の影響を受けた企業への恐喝を開始し、まずデータ漏洩サイトに企業名を掲載しました。これは、盗まれた情報が一般に公開される前によく使われる戦術です。
これらのエントリは、5 月 27 日に脅威アクターがMOVEit Transfer 安全なファイル転送プラットフォームのゼロデイ脆弱性を悪用して、サーバーに保存されているファイルを盗んだ後に発生しました。
クロップ一味は攻撃の責任を負い、「数百の企業」に侵入したと主張し、交渉が行われなければ6月14日に彼らの名前がデータ漏洩サイトに追加されると警告した。
恐喝要求が支払われない場合、攻撃者らは6月21日に盗んだデータの漏洩を開始すると述べている。
クロップが企業から恐喝を開始
昨日、Clop の攻撃者はデータ漏洩サイトに 13 社の企業をリストしましたが、それらが MOVEit Transfer 攻撃に関連しているのか、それともランサムウェア暗号化攻撃であるのかについては明言しませんでした。
それ以来、そのうちの1社であるGreenfield CAは削除されており、上場が間違いだったか交渉中であることを示している。
上場企業のうち英国の多国籍石油・ガス会社シェル、ユナイテッドヘルスケア・スチューデント・リソース(UHSR)、ジョージア大学(UGA)およびジョージア大学システム・オブ・ジョージア(USG)、ハイデルベルガー・ドラック、ランダル・グリーンパークスの5社はその後、以下のことを認めた。 MOVEit 攻撃によってさまざまな程度の影響を受けました。
シェルは、影響を受けたのは少数の従業員と顧客だけだとし、ランダル氏は、攻撃者が約1万2000人の宿泊客の名前と連絡先情報にアクセスしたと述べた。
ジョージア大学システム、ジョージア大学、ユナイテッドヘルスケア・スチューデント・リソースは、この攻撃については現在も調査中であり、違反が発見されれば公表すると述べた。
ドイツの印刷会社 Heidelberger Druck は、MOVEit Transfer を使用しているが、分析の結果、データ侵害にはつながっていないと述べました。
クロップのデータ漏洩サイトにも上場しているパットナム・インベストメンツは、この問題を調査中であると述べた。
Clop のサイトに掲載されている他の企業は私たちの電子メールに返答していませんが、マクニカのセキュリティ研究者である瀬地山豊氏は、現在 MOVEit Transfer プラットフォームを使用しているか、過去に使用していたことを確認するデータを共有しました。
すでに明らかになっているデータ侵害
MOVEit Transfer 侵害を既に明らかにしている他の組織には、 Zellis (BBC、Boots、Zellis を通じたアイルランドの HSEである Aer Lingus)、ロチェスター大学、 ノバスコシア州政府、 米国ミズーリ州、 米国イリノイ州、 BORN Ontario 、 Ofcam 、 Extreme Networks 、および米国内科学会。
Accellion FTA 、 GoAnywhere MFT 、およびSolarWinds Serv-U管理ファイル転送攻撃のゼロデイ脆弱性を利用した過去の同様の攻撃では、攻撃者はデータ漏洩を防ぐために 1,000 万ドルの身代金を要求しました。
GoAnywhere の恐喝の試みでは、企業が身代金を支払うよりもデータ侵害を開示することを望んでおり、恐喝行為があまり成功しなかったことがわかりました。
Comments