Hacker in purge outfit

Clop ランサムウェア集団は、MOVEit Transfer データ盗難攻撃の背後にいると発表しました。この攻撃では、ゼロデイ脆弱性が悪用されて複数の企業のサーバーに侵入し、データが盗まれました。

これは、Microsoftが日曜日の夜に、TA505およびFIN11としても知られる「Lace Tempast」として追跡しているハッカーグループに帰属したことを裏付けるものである。

さらに、Clop の代表者は、Mandiant が以前に明らかにしたように、米国戦没将兵追悼記念日の長期休暇中の 5 月 27 日に脆弱性の悪用を開始したことを認めました。

休日の前後に攻撃を行うことは、Clop ランサムウェアの作戦の一般的な戦術であり、これまでにもスタッフが最小限に抑えられた休日に大規模な悪用攻撃を行ってきました。

たとえば、2020 年 12 月 23 日に同様の Accellion FTA ゼロデイ脆弱性を悪用し、クリスマス休暇の開始直後にデータを盗みました。

Clop 氏は、MOVEit Transfer 攻撃で侵害された組織の数については明らかにしませんでしたが、身代金が支払われなかった場合、被害者はデータ漏洩サイトに表示されるだろうと述べました。

さらに、ランサムウェアギャングは被害者からの恐喝を始めていないことを確認しており、その時間を利用してデータを検討し、何が価値があるのか、また侵害された企業からの身代金要求を利用するためにどのように利用できるのかを判断している可能性があります。

ギャングによる最近の GoAnywhere MFT 攻撃では、クロップは組織に身代金要求を電子メールで送信するまで 1 か月以上待ちました。

最後に、プロンプトもなく、ランサムウェア犯罪組織は、これらの攻撃中に政府、軍、小児病院から盗まれたデータはすべて削除したと発表しました。

クロップ氏は、「軍、小児病院、政府などがこのように攻撃することは許されず、彼らのデータは消去されたことをすぐに伝えたい」とメールで述べた。

これらの主張が正確であるかどうかを確認する方法はなく、他のデータ盗難攻撃と同様に、影響を受けるすべての組織は、データが悪用される危険があるかのように扱う必要があります。

Clop はランサムウェア活動としてスタートしましたが、同グループは以前、暗号化から離れ、代わりにデータ窃盗の強要を好むと述べていました。

最初の犠牲者が名乗り出る

また、Clop の MOVEit データ盗難攻撃で侵害された組織からの最初の情報開示も確認しました。

英国の給与計算および人事ソリューションのプロバイダーである Zellis は、これらの攻撃によりデータ侵害が発生し、一部の顧客にも影響があったことを認めました。

「世界中の多数の企業が、Progress Software の MOVEit Transfer 製品のゼロデイ脆弱性の影響を受けています」とゼリス氏は声明で述べた。

「少数のお客様がこの世界的な問題の影響を受けていることを確認しており、当社はお客様のサポートに積極的に取り組んでいます。Zellis が所有するすべてのソフトウェアは影響を受けず、関連するインシデントや当社の IT 資産の他の部分への侵害はありません」 。」

「このインシデントを認識してから、私たちは直ちに行動を起こし、MOVEit ソフトウェアを使用しているサーバーを切断し、外部のセキュリティ インシデント対応専門チームを派遣してフォレンジック分析と継続的な監視を支援しました。また、ICO、DPC、NCSC にも通知しました」イギリスとアイルランドの両方で。」

Aer Lingus は、Zellis MOVEit 侵害による侵害を受けたことを認めました。

「しかし、この事件ではエアリンガスの現従業員や元従業員に関する財務情報や銀行口座の詳細が侵害されていないことが確認されています」とエアリンガスの声明には書かれている。

「また、エアリンガスの現従業員または元従業員に関する電話連絡先情報が侵害されていないことも確認されています。」

The Record が報じたように、ブリティッシュ・エアウェイズもゼリスの侵害が影響したことを認めた。

残念ながら、マネージド ファイル転送プラットフォームに対するこれまでの Clop 攻撃で見られたように、時間の経過とともに企業情報の開示が長期にわたって続くことになるでしょう。