Procter & Gamble が GoAnywhere ゼロデイによるデータ盗難を確認

Procter & Gamble

消費財大手の Procter & Gamble は、2 月初旬に安全なファイル共有プラットフォーム GoAnywhere MFT が侵害された後、非公開の数の従業員に影響を与えるデータ侵害を確認しました。

同社はセキュリティ侵害の背後にいる人物を明らかにしていませんが、これは、世界中の Fortra GoAnywhere セキュアストレージサーバーを標的とした Clop ランサムウェアギャングの攻撃に関連する、進行中の恐喝要求の一部です。

Procter & Gamble によると、攻撃者は従業員の財務情報や社会保障情報にアクセスすることはできませんでしたが、従業員のデータの一部を盗むことはできました。

「P&G は、Fortra の GoAnywhere 事件の影響を受けた多くの企業の 1 つであることを確認できます。この事件の一環として、無許可の第三者が P&G の従業員に関する情報を入手しました」と Procter & Gamble は語った。

「許可されていない当事者によって取得されたデータには、社会保障番号や国民識別番号、クレジットカードの詳細、銀行口座情報などの情報は含まれていませんでした。」

P&G は、このデータ侵害が顧客データに影響を与えたという証拠はなく、インシデントを発見した後、Fortra の GoAnywhere セキュアファイル共有サービスの使用を停止したと述べています。

「2月初旬にこの事件を知ったとき、私たちはすぐに問題の性質と範囲を調査し、ベンダーのサービスの使用を無効にし、従業員に通知した」と同社は付け加えた.

「現時点では、顧客データがこの問題の影響を受けたという兆候はありません。当社の業務は通常どおり継続しています。」

Table of contents

Clop は、130 以上の組織からファイルを盗んだと主張しています。

Clop ランサムウェアギャングは、 CVE-2023-0669 GoAnywhere の脆弱性をゼロデイ攻撃として悪用し、130 を超える組織の安全なストレージサーバーからデータを侵害して盗んだと、以前 Bleeping Computer に語っています。

彼らは、このバグを標的とするエクスプロイトに対して脆弱なインターネットに公開されたサーバーに侵入した後、10 日間にわたってデータを盗んだとされています。

脅威アクターはまた、被害者の侵害されたファイル共有プラットフォームに保存されているドキュメントのみを盗んだと主張しましたが、ランサムウェアのペイロードを展開するためにネットワークを横方向に簡単に移動することもできた.

Clop は 3 月 10 日にデータ漏洩サイトに 7 つの企業を追加し、GoAnywhere 攻撃の被害者を公然と強要し始めました。

これまでのところ、GoAnywhere の侵害と Clop が侵害を強要していることを認めた被害者のリストには、医療大手のCommunity Health Systems (CHS) 、フィンテックプラットフォームのHatch Bank 、サイバーセキュリティ企業のRubrik 、日立エナジー、高級ブランド小売業者のSaks Fifth Avenue 、およびカナダのトロント市。

ランサムウェアギャングは被害者に送信された身代金メモの中で、「Clop ハッカーグループ」と自己紹介し、機密文書を盗んだことを被害者に警告しています。被害者は交渉に乗り気ではありませんでした。

「あなたの GoAnywhere MFT リソースから重要な情報を盗み出し、証拠としてファイルの完全なリストを添付したことをお知らせします」と身代金メモには書かれています。

「私たちは故意にあなたの組織を開示せず、あなたとあなたのリーダーシップと最初に交渉したかった.あなたが私たちを無視した場合、私たちは闇市場であなたの情報を販売し、1日あたり3万から5万のユニークビジターを獲得するブログに公開します. .”

ランサムウェアギャングが GoAnywhere MFT ゼロデイを使用して被害者の安全な共有サーバーから機密ファイルを盗んだ疑いは、2020 年 12 月にAccellion FTA ゼロデイ脆弱性を使用して約 100 社のデータを盗んだのと非常によく似ています。

Accellion 攻撃では、Clop は大量のデータを盗み、エネルギー大手の Shell 、サイバーセキュリティ企業の Qualys 、スーパーマーケット大手の Kroger 、世界中の大学 (たとえば、スタンフォード大学医学部、コロラド大学、およびカリフォルニア大学）。

Clop ギャングは、少なくとも 2019 年以降、ランサムウェア攻撃にも関与しており、 Software AG IT 、マーストリヒト大学、 ExecuPharm 、 Indiabullsなど、多数の被害者のサーバーからファイルを暗号化して盗み出しています。