Ați fost o victimă a încălcării MOVEit? Iată ce trebuie să știți

Recomandări cheie

• Încălcarea MOVEit, efectuată de grupul de ransomware Clop, este unul dintre cele mai mari hack-uri din 2023, impactând 2.659 de organizații și 67 de milioane de oameni.
• Încălcarea a exploatat vulnerabilitățile zero-day în aplicația MOVEit, oferind atacatorilor acces la datele sensibile stocate de organizațiile care folosesc software-ul.
• Sectorul educației a fost puternic afectat de încălcare, universități precum John Hopkins și Universitatea Webster printre cele vizate. Alte sectoare afectate includ sănătatea, finanțele și afacerile.

Sunteți unul dintre cele 62 de milioane de persoane afectate de încălcarea MOVEit? Încălcarea MOVEit este una dintre cele mai mari hack-uri din 2023, grupul de ransomware Clop răscumpărând mii de organizații și scotând zeci de milioane de dolari.

Deci, ce este atacul ransomware MOVEit și cum a afectat atât de mulți oameni?

Ce este MOVEit?

MOVEit este un software și un serviciu securizat de transfer de fișiere dezvoltat de Progress Software, conceput pentru a facilita transferul securizat de date sensibile între organizații și persoane. MOVEit este folosit de companii, organizații guvernamentale, universități și, practic, orice entitate care stochează și gestionează datele sale, permițând companiilor să transfere fișiere și date în siguranță pentru a le proteja din acces neautorizat sau încălcări.

Cu toate acestea, în mai 2023, acest lucru a încetat să mai fie cazul, deoarece grupul de ransomware Clop a spart mii de date ale organizațiilor care foloseau MOVEIt pentru datele lor.

Cum s-a întâmplat încălcarea MOVEit?

În mai 2023, infamul grup de ransomware Clop a exploatat mai multe vulnerabilități zero-day în aplicația MOVEIt.

O vulnerabilitate de zi zero este o defecțiune de securitate a software-ului necunoscută furnizorului sau publicului și exploatată de atacatori înainte ca o remediere sau un patch să fie disponibil. Vulnerabilitățile zero-day sunt deosebit de periculoase, deoarece ar putea fi exploatate pe furiș fără știrea vânzătorului pentru o perioadă foarte lungă de timp.

Progress Software a corectat în cele din urmă aceste vulnerabilități, dar era deja prea târziu. În perioada în care vulnerabilitatea era necunoscută publicului și vânzătorilor, atacatorii au accesat și au încălcat datele a mii de organizații care au folosit MOVEit pentru a-și gestiona și transfera datele.

Grupul de ransomware Clop a descoperit mai multe vulnerabilități de injectare SQL în aplicația MOVEit, permițându-le să acceseze baza de date a organizațiilor și să descarce și să vizualizeze date. Injecția SQL este o vulnerabilitate unde codul SQL rău intenționat este inserat în câmpurile de intrare, exploatând vulnerabilitățile dintr-o aplicație susținută de baze de date. Codul neautorizat poate manipula baza de date, expunând sau modificând informații sensibile.

Vulnerabilitățile de injectare SQL sunt înregistrate ca CVE-2023-34362, CVE-2023-35036 și CVE-2023-35708 și au fost corectate pe 31 mai 2023, 9 iunie 2023 și, respectiv, 15 iunie 2023. Toate versiunile aplicației de transfer MOVEit au fost vulnerabile la aceste vulnerabilități. Când este exploatat, permite unui atacator neautentificat să obțină acces la conținutul bazei de date de transfer MOVEIt a organizației. Aceasta înseamnă că atacatorul poate descărca, modifica sau chiar șterge baze de date fără nicio restricție.

Impactul încălcării MOVEit

Conform analizei Emisoft și statistici privind încălcarea datelor MOVEit, la 9 noiembrie 2023, 2.659 de organizații au fost afectate de încălcarea MOVeit, și peste 67 de milioane de oameni au fost afectați cu organizații cu sediul în principal în Statele Unite, Canada, Germania și Regatul Unit.

Educația este sectorul cel mai afectat, datele a numeroase universități fiind sifonate de acești atacatori. Organizațiile educaționale afectate de această încălcare includ sistemul școlar public din New York, John Universitatea Hopkins, Universitatea din Alaska și Universitatea Webster, printre altele universități. Alte sectoare foarte afectate de această încălcare includ sectorul sănătății, băncile, instituțiile financiare și întreprinderile.

Unele dintre cele mai cunoscute organizații afectate de ransomware-ul MOVEit includ BBC, Shell, Siemens Energy, Ernst &Young și British Airways.

Pe 25 septembrie 202, conducerea serviciului de înregistrare prenatală, a nou-născuților și a copiilor,NĂSCUT Ontario, a lansat o declarație cu privire la încălcarea MOVEit, dezvăluind că au fost afectați de încălcarea MOVEit. Potrivit raportului lor, vulnerabilitatea MOVEit a permis unor terți actori rău-intenționați neautorizați să acceseze și să copieze fișiere de informațiile personale de sănătate conținute în înregistrările BORN Ontario, care au fost transferate folosind software-ul securizat de transfer de fișiere.

Ca răspuns, Born Ontario a izolat imediat sistemul, a scos din funcțiune serverul afectat și a lansat un investigație, în parteneriat cu experți în securitate cibernetică pentru a stabili severitatea și care sunt datele specifice furat.

Multe dintre aceste organizații au fost piratate nu pentru că au folosit aplicația MOVEit, ci pentru că ei au patronat furnizori terți care au folosit aplicația de transfer MOVEit, ceea ce a condus la obținerea acestora încălcat de asemenea. Este o situație similară pentru alte organizații, care costă miliarde de dolari în plăți de ransomware și alte remedieri de securitate.

Ai fost afectat de încălcarea MOVEit. Ce urmează?

Dacă încă utilizați MOVEit, corecționați-l imediat la cea mai recentă versiune pentru a preveni furtul fișierelor și datelor dvs. de acești hackeri. Internetul și software-ul care îl utilizează sunt, din păcate, predispuse la hack-uri și ransomware și trebuie să vă păstrați și securizați activele dvs. schimbând parolele în mod regulat, utilizând software antivirus și activând multifactor autentificare.

Totuși, așa cum arată încălcarea MOVEit, puteți face toate acestea, iar o echipă de hackeri va găsi o exploatare nemaivăzută până acum.