Proboj u MOVEit jedan je od najvećih napada ransomwareom u 2023. godini i utjecao je na milijune ljudi diljem svijeta.
Ključni zahvati
- Povreda MOVEit-a, koju je izvela grupa Clop ransomware, jedno je od najvećih hakiranja 2023., koje je utjecalo na 2659 organizacija i 67 milijuna ljudi.
- Proboj je iskoristio ranjivosti nultog dana u aplikaciji MOVEit, dajući napadačima pristup osjetljivim podacima koje su pohranile organizacije koje koriste softver.
- Obrazovni sektor bio je uvelike pogođen kršenjem, sa sveučilištima kao što su John Hopkins i Sveučilište Webster među onima na meti. Ostali pogođeni sektori uključuju zdravstvo, financije i poslovanje.
Jeste li jedan od 62 milijuna ljudi pogođenih kršenjem MOVEit-a? Upad u MOVEit jedno je od najvećih hakiranja 2023. godine, s grupom ransomwarea Clop koja je otkupila tisuće organizacija i ukrala desetke milijuna dolara.
Dakle, što je MOVEit ransomware napad i kako je utjecao na toliko ljudi?
Što je MOVEit?
MOVEit je softver i usluga za siguran prijenos datoteka koju je razvila tvrtka Progress Software, a dizajnirana je za olakšavanje sigurnog prijenosa osjetljivih podataka između organizacija i pojedinaca. MOVEit koriste tvrtke, vladine organizacije, sveučilišta i zapravo bilo koji subjekt koji pohranjuje i upravlja svojim podacima, omogućujući tvrtkama siguran prijenos datoteka i podataka kako bi ih zaštitili iz
neovlaštenog pristupa ili kršenja.Međutim, u svibnju 2023. to je prestalo biti slučaj jer je grupa Clop ransomware hakirala podatke tisuća organizacija koje su koristile MOVEIt za svoje podatke.
Kako je došlo do kršenja MOVEita?
U svibnju 2023. zloglasna grupa Clop ransomware iskoristila je višestruke ranjivosti nultog dana u aplikaciji MOVEIt.
Ranjivost nultog dana je sigurnosni propust softvera nepoznat dobavljaču ili javnosti i iskorištavaju ga napadači prije nego što popravak ili zakrpa postanu dostupni. Ranjivosti nultog dana posebno su opasne jer se mogu potajno iskorištavati bez znanja dobavljača jako dugo vremena.
Progress Software je na kraju zakrpao ove ranjivosti, ali već je bilo prekasno. U razdoblju kada je ranjivost bila nepoznata javnosti i dobavljačima, napadači su pristupili i provalili u podatke tisuća organizacija koje su koristile MOVEit za upravljanje i prijenos svojih podataka.
Grupa Clop ransomware otkrila je višestruke ranjivosti SQL injection u aplikaciji MOVEit, što im je omogućilo pristup bazi podataka organizacija te preuzimanje i pregled podataka. SQL injection je ranjivost gdje se zlonamjerni SQL kod umeće u polja za unos, iskorištavajući ranjivosti u aplikaciji koja se temelji na bazi podataka. Neovlašteni kod može manipulirati bazom podataka, potencijalno izlažući ili mijenjajući osjetljive informacije.
Ranjivosti SQL injekcije registrirane su kao CVE-2023-34362, CVE-2023-35036 i CVE-2023-35708, a zakrpane su 31. svibnja 2023., 9. lipnja 2023. i 15. lipnja 2023., redom. Sve verzije MOVEit aplikacije za prijenos bile su ranjive na ove ranjivosti. Kada se iskorištava, omogućuje neautentificiranom napadaču pristup sadržaju MOVEIt prijenosne baze podataka organizacije. To znači da napadač može preuzimati, mijenjati ili čak brisati baze podataka bez ikakvih ograničenja.
Utjecaj MOVEit kršenja
Prema Emisoftovoj analizi i statistike koje se odnose na povredu podataka MOVEit, od 9. studenog 2023., 2659 organizacija bilo je pogođeno povredom podataka MOVeit, i više od 67 milijuna ljudi je pogođeno s organizacijama uglavnom sa sjedištem u Sjedinjenim Državama, Kanadi, Njemačkoj i Ujedinjenom Kraljevstvu.
Obrazovanje je sektor koji je najviše pogođen, a ovi napadači kradu podatke brojnih sveučilišta. Obrazovne organizacije pogođene ovim kršenjem uključuju sustav javnih škola New Yorka, John Sveučilište Hopkins, Sveučilište Aljaske i Sveučilište Webster, među ostalim popularnim sveučilišta. Ostali sektori na koje ovo kršenje uvelike utječe uključuju zdravstveni sektor, banke, financijske institucije i poduzeća.
Neke od poznatijih organizacija pogođenih ransomwareom MOVEit uključuju BBC, Shell, Siemens Energy, Ernst & Young i British Airways.
Dana 25. rujna 202. godine voditeljica matične službe za trudnoću, novorođenčad i djecu,ROĐEN u Ontariju, objavili su izjavu o kršenju MOVEita otkrivajući da su bili pogođeni kršenjem MOVEita. Prema njihovom izvješću, ranjivost MOVEit omogućila je neovlaštenim zlonamjernim akterima trećih strana pristup i kopiranje datoteka osobne zdravstvene informacije sadržane u evidenciji BORN Ontario, koje su prenesene pomoću softvera za siguran prijenos datoteka.
Kao odgovor, Born Ontario je odmah izolirao sustav, isključio pogođeni poslužitelj i pokrenuo istrage, u suradnji sa stručnjacima za kibernetičku sigurnost kako bi se utvrdila ozbiljnost i koji su specifični podaci ukraden.
Mnoge od tih organizacija hakirane su ne zato što su koristile aplikaciju MOVEit, već zato što su pod pokroviteljstvom dobavljača trećih strana koji su koristili aplikaciju za prijenos MOVEit, što je dovelo do dobivanja također prekršena. Slična je situacija i za druge organizacije, što košta milijarde dolara u plaćanjima ransomwarea i drugim sigurnosnim popravcima.
Na vas je utjecalo MOVEit kršenje. Što dalje?
Ako još uvijek koristite MOVEit, odmah ga zakrpite na najnoviju verziju kako biste spriječili krađu vaših datoteka i podataka od strane ovih hakera. Internet i softver koji ga koristi su nažalost skloni hakiranju i ransomwareu i morate se čuvati a vaša imovina osigurana redovitom promjenom lozinki, korištenjem antivirusnog softvera i omogućavanjem multi-faktora ovjera.
Ipak, kao što MOVEit proboj pokazuje, možete učiniti sve to, a tim hakera će pronaći exploit kakav dosad nije viđen.