当地时间6月15日(周四)壳牌公司证实,Clop勒索软件团伙将这家英国石油和天然气跨国公司列在其勒索网站。据信该团伙利用MOVEit文件传输工具漏洞攻入了公司网络,该公司受到了影响。这是壳牌公司第二次受到针对文件传输服务的Clop勒索团伙的攻击。壳牌公司在全球拥有80,000多名员工,去年报告的收入超过3810亿美元。壳牌发言人告诉Recorded Future News:“我们知道网络安全事件影响了Progress的第三方工具MOVEit Transfer,少数壳牌员工和客户使用该工具。”他们强调“没有证据表明壳牌的核心IT系统受到影响”,并表示他们的IT团队继续调查此事件。“我们没有与黑客沟通,”发言人补充说。
另据CNN当地时间15日报道称,美国多个联邦机构也被黑客利用MOVEi零日漏洞攻破。据联邦新闻网报道,美国能源部 (DOE) 的两个实体也遭到入侵 。
受害者名单还在增加
Clop对MOVEit的黑客攻击在英国造成了许多受害者,包括BBC、英国航空公司和爱尔兰航空公司、药品零售商Boots,甚至是该国的通信监管机构Ofcom。
作为MOVEit工具的直接用户,壳牌和Ofcom在有限的设置中似乎受到的影响较小。Ofcom表示,在这次攻击中下载了“有限数量的信息”,尽管其中一些信息是机密的,并且与其监管的公司有关,还有412名Ofcom员工的个人数据。
然而,BBC、英国航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影响,因为文件传输工具正被一家名为Zellis的第三方薪资服务供应商使用。
在首都运营公共交通的伦敦交通局也确认受到了该事件的影响。一位发言人告诉 Recorded Future News:“与英国的其他公司一样,我们的一家承包商最近遭遇了数据泄露。该问题已得到解决,IT系统已得到保护。有问题的数据不包括银行详细信息,我们正在写信给所有相关人员,让他们了解这一事件。”
据《每日电讯报》报道,伦敦交通局数据库中多达13,000名司机已收到警告,他们的个人数据在该事件中被盗,这影响了运营该市交通拥堵和停车收费计划的承包商。
BBC新闻报道称,专业服务公司EY也受到了影响。目前尚不清楚EY是否是Zelli的客户,或者他们是否直接使用MOVEit Transfer。两个已确认的Zellis用户——BBC和英国航空公司——已警告他们的所有员工,他们的数据可能已被盗。
使用MOVEi 跨部门共享文件的新斯科舍省政府也证实受到了影响,并在一份声明中表示,部分公民的个人信息可能已被泄露。然而,在其泄密网站上的一条消息中,Clop说,“如果你是政府、城市或警察部门……我们删除了你的所有数据。”
虽然袭击的全部范围仍然未知,但新的受害者不断挺身而出。
Clop周三(6月14日)列出了第一批据称利用MOVEit漏洞入侵的组织。受害者名单发布在Clop的暗网泄密网站上,其中包括总部位于美国的金融服务机构1st Source 和First National Bankers Bank;总部位于波士顿的投资管理公司Putnam Investments;位于荷兰的Landal Greenparks;和总部位于英国的能源巨头壳牌。据BleepingComputer报道,五家上市公司——英国跨国石油和天然气公司壳牌、佐治亚大学 (UGA) 和佐治亚大学系统 (USG)、UnitedHealthcare Student Resources (UHSR)、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer证实他们在袭击中受到影响。
有一个例外是GreenShield Canada公司,这家提供健康和牙科福利的非营利性福利承运商,曾被列在泄漏网站上,但已被删除。
其他受害者还包括金融软件提供商 Datasite;教育性非营利性国家学生信息交换所;学生健康保险提供商 United Healthcare Student Resources;美国制造商 Leggett & Platt;瑞士保险公司ÖKK等。
约翰霍普金斯大学本周证实了一起据信与MOVEit大规模黑客攻击有关的网络安全事件。该大学在一份声明中表示,数据泄露“可能影响了敏感的个人和财务信息”,包括姓名、联系信息和健康账单记录。
研究人员还报告说,Clop可能早在2021年就一直在利用MOVEit漏洞。美国风险咨询公司Kroll在一份报告中表示,虽然该漏洞在5月下旬才曝光,但其研究人员发现的活动表明Clop正在试验将近两年来利用此特定漏洞的方法。
Kroll研究人员说:“这一发现说明了大规模利用事件(例如MOVEit Transfer网络攻击)所涉及的复杂知识和计划。”
Secureworks Counter Threat Unit威胁研究主管Chris Yule表示,网络罪犯可能需要一些时间才能对付受害者。
“是否会有一个转储或滴灌还有待观察,[但]GoAnywhere 受害者是在14天内分批发布的,”Yule说。
“Clop发布的第一个名字包括许多美国金融服务公司。虽然上传刚刚开始,但我们预计受害者的其余部分可能位于美国,因为互联网上的大多数MOVEit服务器都位于美国。”
Picus Security的威胁研究员Hüseyin Can Yuceel表示,更慢地公布受害者的详细信息可能会迫使其他人支付赎金,很明显,Clop 的威胁并不是虚张声势。
被勒索了应该怎么办?
虽然到目前为止还没有在任何受害系统上执行勒索软件储物柜——这与Clop在这种情况下的作案手法一致——如何处理数据泄露和勒索事件的剧本与数据加密的情况大致相似发生在。
“预防始终是抵御勒索软件攻击的第一要务。[之后] 能做的不多,”Can Yuceel说。
“即使备份到位,勒索软件组织也可以释放受害者的敏感数据并损害他们的声誉。执法机构建议企业不要支付赎金,因为勒索软件组织可能不会在付款后提供解密密钥。赎金支付还存在其他风险。
“我们观察到,已知支付赎金的组织将来更有可能成为相同或其他勒索软件组织的目标。赎金支付还可以使勒索软件威胁永久化,并用于资助其他非法活动。”
网络威胁研究专家Can Yuceel警告说,对于英国不断增加的受害者名单——现在还包括Adare SEC,金融和保险行业的专业客户通讯服务供应商,其客户包括Legal & General、AON和Allianz——应该特别警惕参与或支付由于严格的金融法规涵盖了向俄罗斯犯罪组织支付的赎金。
“金融制裁实施办公室认为支付赎金是违反金融制裁的行为,这是一种严重的刑事犯罪,可能会被判处监禁和罚款,”他说。
“因此,英国的受害者应向国家网络安全中心报告此次攻击,并在需要时请求支持管理网络事件。”
倒霉的壳牌肯定不是最后一个
壳牌在2021年首次遭到Clop攻击,当时该团伙入侵了Accellion的文件传输设备,企图通过威胁泄露被盗的敏感信息来勒索使用它的公司。
对Accellion的攻击影响了全球100多个组织,包括美国的众多大学和加拿大航空航天制造商庞巴迪。
今年早些时候,Clop利用影响Fortra的 GoAnywhere文件传输产品的漏洞,该组织称该漏洞使其能够从130多家公司、政府和组织窃取数据,再次用于勒索目的。
开发流行的MOVEit工具的软件公司 Progress上周宣布了影响该软件的第二个漏洞,此前有更多的漏洞公告是由于该程序的问题造成的。
要命的漏洞目前出现了后续。6月15日,Progress发布了最新的警告,疑是发现了新的SQL注入漏洞。BleepingComputer还被告知,在Huntress高级安全研究员John Hammond发现了新一个漏洞,已被披露给 Progress——该披露可能也促使该公司发出警告。
之前在9号发布公告披露了被统称为CVE-2023-35036 的关键SQL注入漏洞。 5月31日启动的安全审计后发现,当时 Progress 发布了漏洞(CVE-2023-34362) 的补丁。这两个编号漏洞均被用作Clop勒索软件团伙在数据盗窃攻击。CVE-2023-35036影响所有 MOVEit Transfer版本,并让未经身份验证的攻击者破坏未修补和暴露在Internet上的服务器以窃取客户信息。Clop勒索软件团伙此前明确声称对CVE-2023-34362漏洞攻击负责。
若出现第三个漏洞,CLOP勒索还有更多沦陷者。试目以待。
参考资源
1、https://therecord.media/shell-impacted-in-clop-ransomware-attack
2、https://www.computerweekly.com/news/366541817/Clop-begins-naming-alleged-MOVEit-victims
3、https://techcrunch.com/2023/06/15/moveit-clop-mass-hacks-banks-universities/
4、https://www.bleepingcomputer.com/news/security/clop-ransomware-gang-starts-extorting-moveit-data-theft-victims/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
