微軟說 Clop 勒索軟體幫派是 MOVEit 群駭事件的幕後黑手,首批受害者浮出水面
安全研究人員發現,一股新一波的大規模駭客攻擊浪潮正針對一款受歡迎的檔案傳輸工具,並與臭名昭著的 Clop 勒索軟體幫派有聯動。此次群駭事件讓首波受害者浮出水面,其中包括 BBC、英國航空和 Nova Scotia 政府等知名企業。
MOVEit Transfer 的漏洞使駭客能夠進入被影響的 MOVEit 伺服器資料庫
上週曝光了一則訊息:駭客們正在利用 MOVEit Transfer 的新發現漏洞進行攻擊,MOVEit Transfer 是一款被廣泛應用於企業間網上傳輸大檔案的工具。此漏洞使駭客能夠進入被影響的 MOVEit 伺服器資料庫。MOVEit 軟體的開發商——Progress Software 已經發布了一些補丁。
受害者浮出水面
周末時,受害者的名單開始浮出水面,總部位於英國的人力資源軟體製造商和工資單供應商 Zellis 證實,其 MOVEit 系統已經遭到破解,此次事件影響了其“少數”企業客戶。其中一家客戶是英國航空這樣的大型企業巨頭,英國航空告訴 TechCrunch,駭客入侵包括所有英國員工的工資單資料在內的薪資資料,時候多量的員工個人訊息被泄露。英國航空發言人 Jason Turnnidge-Betts 告訴 TechCrunch:“我們被告知,我們是由於 Zellis 的安全事件而受到影響的公司之一,Zellis 是我們的第三方供應商之一,他們提供給英國數百家公司提供支付支援服務,我們是其中之一。我們已經通知那些個人訊息泄露的同事,提供支援和建議。” 英國航空沒有確認有多少名員工受到影響,但當前全球約有 35,000 名員工。英國的 BBC 也確認受到影響,並證實這次事件在影響 Zellis 的客戶。
Nova Scotia 政府在一份宣告中表示他們使用 MOVEit 來共享部門間的檔案,並表示一些市民的個人訊息可能已被泄露。此政府已經將受影響的系統下線,正在努力確保“究竟哪些訊息被盜竊以及有多少人受到了影響。”
微軟指派 Clop 勒索軟體幫派負責該事件
一開始並不清楚誰是這波新一輪攻擊的幕後黑手,但微軟的安全研究人員發現,攻擊背後的黑手群體是該公司追蹤的“Lace Tempest”。這個幫派是俄羅斯 Clop 勒索軟體幫派的一個附屬組織,之前曾與在 Fortra 的 GoAnywhere 檔案傳輸工具和 Accellion 檔案傳輸應用中利用漏洞進行大規模攻擊有關。微軟研究人員表示利用 CVE-2023-34362 MOVEit Transfer 0-day 漏洞進行的攻擊通常會被資料外洩。監測、調查網路安全事件的公司 Mandiant 尚未像微軟一樣指定幕後黑手的身份,但週末他們在自己的部落格中指出,新成立的威脅叢集 UNC4857 與已知的 FIN11 勒索軟體幫派有“明顯”的相似之處。FIN11 是 Clop 勒索軟體的成員。
展望未來
MOVEit 的漏洞事件在網路上寬頻地傳播著,許多其他受害者將會走出來數日後。針對此事件的群體,我們需要更加注意不法行為,做好風險防範措施是不可或缺的。因為安全的生產環境是所有企業的基礎,也是所有消費者得以放心使用的保障。
