New York City Eğitim Bakanlığı (NYC DOE), bilgisayar korsanlarının MoveIT transfer sunucusundan 45.000 öğrencinin hassas kişisel bilgilerini içeren belgeleri çaldığını söyledi.
Yönetilen Dosya Aktarımı (MFT) yazılımı, NYC DOE tarafından, özel eğitim hizmeti sağlayıcıları da dahil olmak üzere veri ve belgeleri dahili ve harici olarak güvenli bir şekilde aktarmak için kullanılmıştır.
NYC DOE, geliştirici sömürülen güvenlik açığı (CVE-2023-34362) hakkındaki bilgileri ifşa eder etmez sunucuları yamaladı; Ancak, saldırganlar güvenlik güncellemeleri mevcut olmadan önce büyük ölçekli saldırılardaki hatayı zaten kötüye kullanıyorlardı.
Etkilenen sunucu, ihlal keşfedildikten sonra çevrimdışı alındı ve NYC DOE olayı ele almak için NYC Cyber komutuyla çalışıyor.
NYC DOE, "Ayrıca, bazı DOE dosyalarının etkilendiğini ortaya koyan bir dahili soruşturma gerçekleştirdik. Etkilenen dosyaların gözden geçirilmesi devam ediyor, ancak ön sonuçlar, DOE personeline ve ilgili hizmet sağlayıcılara ek olarak yaklaşık 45.000 öğrencinin etkilendiğini gösteriyor." COO Emma Vadehra, hafta sonu yayınlanan bir açıklamada söyledi.
"Kabaca 19.000 belgeye izin verilmeden erişildi. Etkilenen veri türleri sosyal güvenlik numaraları ve çalışan kimlik numaraları içerir (etkilenen tüm bireyler için mutlaka değil; örneğin, yaklaşık 9.000 sosyal güvenlik numarası dahil edilmiştir).
Diyerek şöyle devam etti: "FBI, yüzlerce varlığı etkileyen daha geniş ihlali araştırıyor; şu anda araştırırken hem NYPD hem de FBI ile işbirliği yapıyoruz."
Clop fidye yazılımı çetesi, BleepingComputer ile paylaşılan bir açıklamada CVE-2023-34362 Moveit transfer saldırıları için sorumluluk talep etti ve siber suç çetesi "yüzlerce şirketin" movit sunucularını ihlal ettiğini söyledi.
Kroll ayrıca, Clop'un 2021'den bu yana şimdiki patched Moveit Zero Day için aktif olarak test ettiğini ve en azından Nisan 2022'den bu yana tehlikeye atılan sunuculardan veri çıkarma yöntemlerini araştırdığına dair kanıtları ortaya çıkardı.
Clop'un bu kapsamlı veri hırsızlığı kampanyasına katılımı, MFT platformlarını hedefleyen daha geniş bir modelin bir parçasıdır.
Önceki örnekler arasında Aralık 2020'de Acccellion FTA sunucularının ihlali, 2021'de Solarwinds Serv-U sunucuları ve bu yılın başlarında Ocak ayında Goanywhere MFT sunucularının yaygın olarak sömürülmesi yer alıyor.
Clop Gang, neredeyse iki hafta önce, 15 Haziran'da Clop'un Dark Web Veri Sızıntısı sitesinde isimlerini kamuya açıklayarak Moveit Veri hırsızlığı saldırılarından etkilenen kuruluşları zorlamaya başladı.
Shell, Georgia Üniversitesi (UGA) ve Gürcistan Üniversitesi (USG), Heidelberger Druck, UnitedHealthcare Öğrenci Kaynakları (UHSR) ve Landal Greenpks, BleepingComputer'a etkilendiklerini onaylayan kuruluşlardan sadece birkaçı.
Moveit transfer saldırıları ile ilgili ihlalleri zaten açıklayan diğer kurbanlar arasında ABD Missouri eyaleti, ABD Illinois Eyaleti, Zellis (müşterileri ile birlikte BBC, Boots, Aer Lingus ve İrlanda'nın HSE), OFCAM, Nova Scotia Hükümeti , Amerikan İç Hastalıkları Kurulu ve Extreme Networks.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CNN tarafından bildirildiği gibi, birkaç ABD federal ajansının da tehlikeye atıldığını açıkladı. Federal Haber Ağı, saldırıların iki ABD Enerji Bakanlığı (DOE) kuruluşunu da etkilediğini söyledi.
İlerleme, yeni bir SQL Enjeksiyon (SQLI) Güvenlik Kususu (CVE-2023-35708) hakkındaki bilgilerden sonra HTTP'nin sunucularına erişimini kısıtlamak için geçen hafta MoveIT transfer müşterilerinin çevrimiçi olarak yayınlandığı konusunda uyarıldı.
Bu uyarı, başka bir danışmanlığın toplu olarak CVE-2023-35036 olarak izlenen diğer kritik SQL enjeksiyon açıklarını açıkladıktan sonra geldi.
Milyonlarca Oregon, Louisiana State IDS Moveit İhlali'nde Çalındı
Clop Fidye Yazılımı Gang, Moveit Veri-Gezisi Mağdurları Gürülmeye Başlıyor
Moveit ihlali Genworth, Calpers'ı 3,2 milyon maruz kalan veri olarak etkiler
Fidye Yazılımında Hafta - 16 Haziran 2023 - Gasp Dalgası
US Govt, Clop Ransomware hakkında bilgi için 10 milyon dolarlık ödül sunuyor
Kaynak: Bleeping Computer