تستمر التداعيات الدراماتيكية في الاستغلال الجماعي لنقطة ضعف خطيرة في برنامج نقل الملفات المستخدم على نطاق واسع ، مع ظهور ثلاثة ضحايا جدد على الأقل في الأيام القليلة الماضية. وهي تشمل إدارة التعليم والطاقة بمدينة نيويورك ، شنايدر إلكتريك وسيمنز إلكتريك.
قال بريت كالو ، محلل التهديدات في شركة مكافحة الفيروسات Emsisoft ، في مقابلة ، إنه حتى الآن ، يبدو أن فورة القرصنة اخترقت 122 منظمة وحصلت على بيانات ما يقرب من 15 مليون شخص ، بناءً على منشورات نشرتها جماعة الجريمة أو إفصاح عن الضحايا. . .
ربطت Microsoft الهجمات بـ Clop ، وهو عصابة برامج الفدية الناطقة بالروسية. جميع الاختراقات هي نتيجة استغلال Clop لثغرة يوم الصفر في MOVEit ، وهي خدمة نقل ملفات متوفرة في كل من العروض السحابية والمحلية.
حدثت العلامات الأولى لفورة الاستغلال في 27 مايو. وبعد أربعة أيام ، قام موفر MOVEit ، التقدم ، بتصحيح الثغرة الأمنية ، والتي تم تتبعها على أنها CVE-2023-34362. نبع يوم الصفر من حقن SQL. هذه من بين أقدم أشكال الضعف وهي نتيجة لممارسات الترميز السيئة التي يمكن الوقاية منها. حتى بعد أن أصدر التقدم الإصلاح ، استمر بعض مستخدمي MOVEit في التعرض للاختراق لأنهم لم يثبته بعد على شبكاتهم.
وكان من بين الضحايا الأوائل المؤكدين خدمة كشوف المرتبات زيليس ومقاطعة نوفا سكوشا الكندية. من المعروف أن عملاء Zellis ، الخطوط الجوية البريطانية ، و BBC ، و Aer Lingus ، و HSE الأيرلندية ، و Boots في المملكة المتحدة ، قد سُرقت بياناتهم من خلال خرق خدمة كشوف المرتبات. سرعان ما ظهر ضحايا آخرون ، بما في ذلك كيانان تابعان لوزارة الطاقة ، ولايتي ميزوري وإلينوي الأمريكيتين ، والمجلس الأمريكي لشبكات التعليم المتطرفة ، وأوفكام.
كما تمت سرقة بيانات رخصة القيادة الخاصة بالملايين من مواطني ولايتي أوريغون ولويزيانا في الهجمات. ذكرت شبكة سي إن إن أن وزارة الزراعة قد تتأثر أيضًا.
تستمر الأحذية في الانخفاض
يوم الثلاثاء ، أعلن موقع النادي أن شركة Siemens Electric ضحية أخرى ، وبعد فترة وجيزة ، تم الإبلاغ على نطاق واسع ، أكد مسؤولو الشركة أن أنظمتها قد تم اختراقها في حملة Club.
قال ممثل شركة Siemens Electric لمنافذ إخبارية ، بما في ذلك Cyberscoop ، “استنادًا إلى التحليل الحالي ، لم يتم اختراق أي بيانات مهمة ولم تتأثر عملياتنا”. “لقد اتخذنا إجراءات فورية عندما علمنا بالحادث”. لم تنجح محاولات Ars للوصول إلى Siemens Electric.
سمى كلوب شنايدر إلكتريك ضحية أخرى. في رسالة بريد إلكتروني ، كتب مسؤول في شنايدر إلكتريك: “في 30 مايو 2023 ، أصبحت شنايدر إلكتريك على دراية بالثغرات التي تؤثر على برنامج Progress MOVEit Transfer. قمنا على الفور بنشر وسائل التخفيف المتاحة لتأمين البيانات والبنية التحتية واستمرنا في مراقبة الوضع عن كثب. “
في مساء يوم السبت ، تقدم رئيس إدارة التعليم في مدينة نيويورك ليقول إنها حققت أيضًا نجاحًا كبيرًا في حملة النادي.
وكتبت إيما فاديرا ، مديرة العمليات في القسم ، “لا تزال مراجعة الملفات المتأثرة جارية ، لكن النتائج الأولية تشير إلى أن ما يقرب من 45000 طالب ، بالإضافة إلى موظفي وزارة التعليم ومقدمي الخدمات ذوي الصلة ، قد تأثروا”. تم الوصول إلى ما يقرب من 19000 وثيقة دون إذن. تشمل أنواع البيانات المتأثرة أرقام الضمان الاجتماعي وأرقام تعريف الموظفين (ليس بالضرورة لجميع الأفراد المتأثرين ؛ على سبيل المثال ، تم تضمين ما يقرب من 9000 رقم ضمان اجتماعي).
Clop هي مجموعة ناطقة بالروسية وهي من بين أكثر الجهات الفاعلة في مجال برامج الفدية انتشارًا ونشاطًا. استغل ممثل التهديد مؤخرًا CVE-2023-0669 على نطاق واسع ، وهو ثغرة خطيرة في خدمة نقل ملفات مختلفة تُعرف باسم GoAnywhere. كما طالت فورة القرصنة تلك أكثر من 100 منظمة ، بما في ذلك شركة أمن البيانات Rubik ، و Community Health Systems في فرانكلين بولاية تينيسي. سمح اختراق أنظمة Community Health Systems ، أحد أكبر سلاسل المستشفيات ، للنادي بالحصول على معلومات صحية لمليون مريض.