การแฮ็ก MOVEit เป็นหนึ่งในการแฮ็กที่ใหญ่ที่สุดที่เกิดขึ้นในปีนี้ หลายเดือนหลังการโจมตี นักวิจัยยังคงค้นพบผลกระทบร้ายแรงใหม่ๆ ที่เกิดขึ้นโดยตรงจากการบุกรุก บริษัทหลายพันแห่งสูญเสียข้อมูลที่ละเอียดอ่อนหลังการโจมตี เราดูแลเรื่องทั้งหมด
เมื่อเดือนพฤษภาคมปีที่แล้ว Progress Software ผู้จัดพิมพ์ค้นพบข้อบกพร่องด้านความปลอดภัยในโค้ดของ MOVEit ซอฟต์แวร์ได้รับการออกแบบมาให้อนุญาตการถ่ายโอนไฟล์ได้อย่างปลอดภัย นี่คือข้อบกพร่องที่เรียกว่า "ศูนย์วัน" การละเมิดจึงไม่เป็นที่รู้จักของนักพัฒนา... และแฮกเกอร์หาประโยชน์อย่างแข็งขัน
จากข้อมูลของบริษัท แฮกเกอร์ใช้ช่องโหว่นี้ในช่วงสุดสัปดาห์ของวันที่ 28 พฤษภาคม 2023 เห็นได้ชัดว่าแฮกเกอร์สามารถเจาะระบบได้โดยใช้ประโยชน์จากข้อบกพร่อง ซึ่งถือว่ามีความสำคัญ ตอนนั้นพวกเขาก็ทำได้“เข้าถึงฐานข้อมูลโดยไม่ได้รับอนุญาต”เผยความคืบหน้าซอฟต์แวร์
“เมื่อเราค้นพบช่องโหว่ เราก็เริ่มดำเนินการตรวจสอบอย่างรวดเร็ว แจ้งเตือนลูกค้า MOVEit ถึงปัญหา และจัดเตรียมมาตรการบรรเทาผลกระทบทันที”Progress Software กล่าวในการแถลงข่าว
พบช่องโหว่ในโค้ดของ MOVEit เวอร์ชันเว็บและคลาวด์ สำหรับ Rick Holland ผู้อำนวยการฝ่ายรักษาความปลอดภัยข้อมูลของ ReliaQuest“มีเซิร์ฟเวอร์มากกว่า 1,000 แห่ง [ทั่วโลก] ที่ใช้งานซอฟต์แวร์เวอร์ชันที่ไม่ได้รับแพตช์”-
อ่านเพิ่มเติม:DNA ของผู้คนหลายล้านคนถูกแฮกเกอร์ขโมยไปได้อย่างไร
แฮ็คโดย Clop
แทร็กถูกพาขึ้นไปอย่างรวดเร็วอาชญากรไซเบอร์แก๊งที่เชี่ยวชาญเรื่องแรนซัมแวร์ องค์กรอาชญากรไซเบอร์ซึ่งมีฐานอยู่ในรัสเซียมักวางตัวอยู่ในกลุ่มเดียวกันแก๊งค์ที่กระตือรือร้นที่สุดในโลกอยู่ข้างหลังผู้น่าเกรงขามล็อคบิต- แก๊งค์นี้เปิดใช้งานมาตั้งแต่อย่างน้อยปี 2562
ซอฟต์แวร์ความคืบหน้าทันทีปรับใช้การแก้ไขเพื่อบล็อกการเข้าถึงซอฟต์แวร์ถ่ายโอนของ Clop ตามที่บริษัทอธิบาย ได้มีการดำเนินมาตรการเพื่อหยุดยั้งการโจมตี:
“เราปิดการใช้งานการเข้าถึงเว็บไปยัง MOVEit Cloud เพื่อปกป้องลูกค้า Cloud ของเรา พัฒนาแพตช์รักษาความปลอดภัยเพื่อแก้ไขช่องโหว่ ทำให้ลูกค้า MOVEit Transfer สามารถใช้งานได้ และแพตช์และเปิดใช้งาน MOVEit Cloud อีกครั้ง ทั้งหมดนี้ภายใน 48 ชั่วโมง »
การตอบสนองของบริษัทช่วยให้แฮกเกอร์ตกอยู่ในอันตรายได้ น่าเสียดายที่อาชญากรไซเบอร์ชาวรัสเซียมีเวลาเหลือเฟือในการเจาะเข้าไปในฐานข้อมูลเพื่อค้นหาข้อมูลที่ใช้ประโยชน์ได้ สำหรับผู้เชี่ยวชาญ Rick Holland ทุกบริษัทที่ใช้ MOVEit ต้องใช้ถือว่าพวกเขากำลังถูกบุกรุกและต้องใช้ความระมัดระวัง โปรดทราบว่าซอฟต์แวร์นี้ถูกใช้โดยบริษัทในอเมริกาและอังกฤษจำนวนมากซึ่งจำเป็นต้องถ่ายโอนไฟล์ที่ละเอียดอ่อน โดยเฉพาะอย่างยิ่งสำหรับหน่วยงานที่เชื่อมโยงกับรัฐบาล ทั่วโลก Progress Software มีลูกค้ามากกว่า 100,000 ราย
การขโมยข้อมูลแบบเรียงซ้อน
ตั้งแต่เดือนมิถุนายน 2023 Clop ได้เตือนบริษัทต่างๆ ที่ใช้ซอฟต์แวร์ MOVEit ในแถลงการณ์บนเว็บไซต์ทางการของทางการ กลุ่มอาชญากรแจ้ง“บริษัทที่ใช้ผลิตภัณฑ์ Progress MOVEit มีโอกาสที่เราดาวน์โหลดข้อมูลของคุณจำนวนมาก”- เพื่อหลีกเลี่ยงการรั่วไหลของข้อมูล Clop สนับสนุนให้บริษัทต่างๆ ติดต่ออย่างเร่งด่วนเพื่อเริ่มการเจรจา
หากไม่มีการติดต่อ ทางกลุ่มตกลงที่จะเปิดเผยข้อมูลที่ได้รับระหว่างการแฮ็ก MOVEit บนไซต์ของตน ที่เรียกว่า “CL0P^_- LEAKS” ด้วยการใช้ประโยชน์จากการเข้าถึง MOVEit ทำให้ Clop สามารถขโมยข้อมูลจำนวนมหาศาลจากบริษัทจำนวนมากได้ ประการแรก Clop รับรองว่าข้อมูลที่เกี่ยวข้องกับรัฐบาล เมือง และหน่วยงานตำรวจถูกลบแล้ว การกล่าวอ้างนี้กลายเป็นเท็จ
ไม่น่าแปลกใจเลยที่การแฮ็ก MOVEit ตามมาด้วยการแฮ็กจำนวนมากที่กำหนดเป้าหมายธุรกิจ การโจมตีเหล่านี้จัดทำขึ้นโดยใช้ข้อมูลที่หายไปในเดือนพฤษภาคม ตามที่บริษัทจัดจำหน่ายซอฟต์แวร์ป้องกันไวรัสระบุเอ็มซิสซอฟท์-กว่า 2,000 องค์กรตกเป็นเป้าหมายหลังจากการแฮ็ก โดยรวมแล้ว การโจมตีแบบต่อเนื่องเหล่านี้นำไปสู่การรั่วไหลของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ... ผู้คนมากกว่า 62 ล้านคน ในการประมาณการนี้ Emsisoft อาศัย"การแจ้งเตือนการละเมิดของรัฐ, การยื่นฟ้องของ ก.ล.ต(NDLR : สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์)การเปิดเผยต่อสาธารณะอื่น ๆ เช่นเดียวกับเว็บไซต์ Cl0p »- ตามการนับล่าสุด ค่าใช้จ่ายในการแฮ็กมากกว่าหมื่นล้านดอลลาร์-
เหยื่อหลักที่ระบุตัวได้ ได้แก่ เชลล์, บริติชแอร์เวย์, อเมริกันแอร์ไลน์, ดอยช์แบงก์, กระทรวงพลังงานของสหรัฐอเมริกา, มหาวิทยาลัยฮาร์วาร์ด, มหาวิทยาลัยสแตนฟอร์ด และทะเบียนเกิดของรัฐบาลออนแทรีโอ ฝ่ายบริหารระบุว่าข้อมูลที่ละเอียดอ่อนของผู้คน 3.4 ล้านคน รวมถึงเด็กทารก 2 ล้านคนและผู้ปกครองที่ตั้งครรภ์ ให้เราอ้างอิงด้วยโซนี่- ยักษ์ใหญ่ของญี่ปุ่นยอมรับเมื่อต้นเดือนตุลาคมว่าเป็นหนึ่งในเหยื่อหลักประกันของการแฮ็ก บริษัทญี่ปุ่นอ้างว่าข้อมูลส่วนบุคคลของพนักงานเกือบ 7,000 คนหรืออดีตพนักงานอาจถูกขโมย
ปฏิกิริยาลูกโซ่
ข้อบกพร่อง MOVEit ทำให้เกิดปฏิกิริยาลูกโซ่ ในบางกรณี การประนีประนอมของลูกค้ารายหนึ่งของ Progress Software ทำให้อาชญากรสามารถเข้ามาได้ในระบบของบุคคลที่สามซึ่งไม่จำเป็นต้องใช้ MOVEIt นักวิจัยของ Emsisoft สรุปสถานการณ์ด้วยเงื่อนไขเหล่านี้:
“บางองค์กรได้รับผลกระทบเพราะพวกเขาใช้ผู้ขายที่ใช้ผู้รับเหมาที่ใช้ผู้รับเหมาช่วงที่ใช้ MOVEit”-
นี่คือสิ่งที่เกิดขึ้นกับ British Airways และ BBC ช่องอังกฤษพบว่าตัวเองอยู่ในเป้าเล็งของแฮกเกอร์เพราะเหตุนี้เซลลิสผู้ให้บริการด้านทรัพยากรบุคคล:
“เราตระหนักถึงการละเมิดข้อมูลที่ Zellis ผู้ให้บริการบุคคลที่สามของเรา และกำลังทำงานอย่างใกล้ชิดกับพวกเขาในขณะที่พวกเขาสอบสวนขอบเขตของการละเมิดอย่างเร่งด่วน”-
ในที่สุด ข้อมูลพนักงานของ BBC ทั้งชื่อและนามสกุล วันเกิด หมายเลขประกันสังคม และบรรทัดแรกของที่อยู่ก็รั่วไหล ตามที่ Bret Callow กล่าว มีผู้คนมากมาย“ที่ยังไม่รู้ว่าตนได้รับผลกระทบ”และยังต้องใช้เวลาหลายปีกว่าจะถึงการนับครั้งสุดท้าย
สำหรับธุรกิจ การป้องกันตนเองจากสิ่งเหล่านี้เป็นเรื่องยากมากการโจมตีห่วงโซ่อุปทาน- หรือที่เรียกว่าการโจมตี "ห่วงโซ่อุปทาน" โดยกำหนดเป้าหมายไปที่ลิงก์ที่อ่อนแอที่สุดในห่วงโซ่อุปทานขององค์กร แทนที่จะมุ่งเป้าไปที่บริษัทโดยตรงโดยเล็งเป้า ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่มีอยู่ในซัพพลายเออร์ คู่ค้า หรือผู้มีบทบาทอื่นๆ ที่เกี่ยวข้องกับห่วงโซ่อุปทาน เห็นได้ชัดว่าแฮกเกอร์กำหนดเป้าหมายลิงก์ด้วยกลไกความปลอดภัยขั้นพื้นฐานที่สุด
“ไม่ใช่แค่ความปลอดภัยของพวกเขาเองที่พวกเขาต้องกังวล แต่ยังรวมถึงความปลอดภัยของห่วงโซ่อุปทานด้วย สิ่งที่ซับซ้อนไปกว่านั้นก็คือความจริงที่ว่าการโจมตีใช้ประโยชน์จากช่องโหว่แบบซีโรเดย์, หมายถึง Emsisoft
ต้องขอบคุณการแฮ็ก MOVEit ทำให้แฮกเกอร์ Clop ได้รับโชคเล็กน้อย การศึกษาดำเนินการโดยชุดคลุมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ประมาณการว่า Clop ควรยกระดับระหว่าง75 และ 100 ล้านดอลลาร์โดยการแบล็กเมล์เหยื่อจำนวนหนึ่งจากการแฮ็ก
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : แบบมีสาย
