Narušení MOVEit je jedním z největších ransomwarových útoků roku 2023 a zasáhlo miliony lidí po celém světě.
Klíčové věci
- Narušení MOVEit, které provedla skupina Clop ransomware, je jedním z největších hacků roku 2023, který zasáhl 2 659 organizací a 67 milionů lidí.
- Prolomení zneužilo zero-day zranitelnosti v aplikaci MOVEit a umožnilo útočníkům přístup k citlivým datům uloženým organizacemi používajícími software.
- Vzdělávací sektor byl těžce zasažen porušením, s univerzitami jako John Hopkins a Webster University mezi cílovými skupinami. Mezi další ovlivněné sektory patří zdravotnictví, finance a obchod.
Jste jedním z 62 milionů lidí postižených porušením služby MOVEit? Narušení MOVEit je jedním z největších hacků roku 2023, přičemž skupina Clop ransomware vykupuje tisíce organizací a vydělává desítky milionů dolarů.
Co je tedy ransomwarový útok MOVEit a jak ovlivnil tolik lidí?
Co je MOVEit?
MOVEit je software a služba pro bezpečný přenos souborů vyvinutá společností Progress Software, navržená tak, aby usnadnila bezpečný přenos citlivých dat mezi organizacemi a jednotlivci. MOVEit používají podniky, vládní organizace, univerzity a v podstatě jakýkoli subjekt, který to má ukládá a spravuje svá data, což společnostem umožňuje bezpečně přenášet soubory a data za účelem jejich ochrany z
neoprávněný přístup nebo porušení.V květnu 2023 to však přestalo platit, protože skupina Clop ransomware hackla data tisíců organizací, které pro svá data využívaly MOVEIt.
Jak došlo k porušení MOVEit?
V květnu 2023 nechvalně známá skupina Clop ransomware zneužila několik zero-day zranitelností v aplikaci MOVEIt.
Zranitelnost nultého dne je chyba zabezpečení softwaru, kterou dodavatel ani veřejnost nezná a kterou útočníci zneužijí dříve, než bude k dispozici oprava nebo oprava. Zranitelnosti nultého dne jsou obzvláště nebezpečné, protože by mohly být tajně zneužívány bez vědomí prodejce po velmi dlouhou dobu.
Progress Software nakonec tyto zranitelnosti opravil, ale už bylo pozdě. V období, kdy byla zranitelnost veřejnosti a prodejcům neznámá, útočníci zpřístupnili a porušili data tisíců organizací, které využívaly MOVEit ke správě a přenosu svých dat.
Skupina Clop ransomware objevila v aplikaci MOVEit několik zranitelností vkládání SQL, což jim umožnilo přístup k databázi organizací a stahování a prohlížení dat. SQL injection je chyba zabezpečení kde se do vstupních polí vkládá škodlivý kód SQL, který zneužívá zranitelnosti aplikace podporované databází. Neautorizovaný kód může manipulovat s databází a potenciálně odhalit nebo pozměnit citlivé informace.
Chyby zabezpečení SQL injection jsou registrovány jako CVE-2023-34362, CVE-2023-35036 a CVE-2023-35708 a byly opraveny 31. května 2023, 9. června 2023 a 15. června 2023. Všechny verze aplikace pro přenos MOVEit byly zranitelné vůči těmto chybám zabezpečení. Při zneužití umožňuje neověřenému útočníkovi získat přístup k obsahu přenosové databáze MOVEIt organizace. To znamená, že útočník může stahovat, měnit nebo dokonce mazat databáze bez jakýchkoli omezení.
Dopad porušení MOVEit
Podle analýzy společnosti Emisoft a statistiky týkající se porušení zabezpečení dat MOVEit, k 9. listopadu 2023 bylo porušením zabezpečení MOVEit zasaženo 2 659 organizací, a více než 67 milionů lidí bylo zasaženo s organizacemi se sídlem převážně ve Spojených státech a Kanadě, Německu a Spojeném království.
Vzdělávání je nejvíce zasaženým sektorem, přičemž tito útočníci vysávají data mnoha univerzit. Vzdělávací organizace postižené tímto porušením zahrnují systém veřejných škol New York City, John Mezi další populární patří Hopkins University, University of Alaska a Webster University vysoké školy. Mezi další sektory, kterých se toto porušení výrazně dotýká, patří zdravotnictví, banky, finanční instituce a podniky.
Některé ze známějších organizací zasažených ransomwarem MOVEit zahrnují BBC, Shell, Siemens Energy, Ernst &Young a British Airways.
Dne 25. září 202, vedoucí prenatální, novorozenecká a matriční služba,NAROZEN Ontario, vydali prohlášení o porušení MOVEit, v němž odhalují, že byli ovlivněni porušením MOVEit. Podle jejich zprávy zranitelnost MOVEit umožnila neoprávněným škodlivým třetím stranám přistupovat a kopírovat soubory osobní zdravotní informace obsažené v záznamech BORN Ontario, které byly přeneseny pomocí softwaru pro bezpečný přenos souborů.
V reakci na to Born Ontario okamžitě izoloval systém, vyřadil postižený server z provozu a spustil vyšetřování, partnerství s odborníky na kybernetickou bezpečnost s cílem zjistit závažnost a o jaká konkrétní data se jednalo ukradený.
Mnoho z těchto organizací bylo napadeno ne proto, že používaly aplikaci MOVEit, ale proto, že ano sponzorovaní dodavatelé třetích stran, kteří využívali přenosovou aplikaci MOVEit, což jim vedlo k získání také porušena. Je to podobná situace pro jiné organizace, která stojí miliardy dolarů na platbách ransomwaru a dalších bezpečnostních opravách.
Byli jste ovlivněni porušením MOVEit. Co dál?
Pokud stále používáte MOVEit, okamžitě jej opravte na nejnovější verzi, abyste zabránili krádeži vašich souborů a dat těmito hackery. Internet a software, který jej používá, jsou bohužel náchylné k hackům a ransomwaru a vy se musíte zachovat a vaše aktiva zabezpečena pravidelnou změnou hesel, používáním antivirového softwaru a aktivací vícefaktorové funkce autentizace.
Přesto, jak ukazuje prolomení MOVEit, můžete to všechno udělat a tým hackerů najde zneužití, které dosud nebylo vidět.