Microsoft, Clop fidye yazılımı çetesini, kuruluşlardan veri çalmak için MoveIT transfer platformundaki sıfır gün güvenlik açığından yararlanan son saldırılara bağladı.
Microsoft Tehdit İstihbarat Ekibi Pazar gecesi tweet attı "Microsoft, CVE-2023-34362 Moveit Transferi, Fidye Yazılımı İşlemleri ve Clop Gazetme Sitesini Çalıştırma ile bilinen Dantel Tempest'e 0 Günlük Güvenlik Açığı'ndan yararlanıyor."
Diyerek şöyle devam etti: "Tehdit oyuncusu, veri ve zorla kurbanları çalmak için geçmişte benzer güvenlik açıkları kullandı."
Geçen Perşembe günü, BleepingComputer, tehdit aktörlerinin kuruluşlardan veri çalmak için Moveit transfer sunucularında sıfır günlük bir güvenlik açığından yararlandığını ilk bildiren kişiydi.
MoveIT transferi, işletmenin SFTP, SCP ve HTTP tabanlı yüklemeler kullanan iş ortakları ve müşteriler arasında güvenli bir şekilde aktarmasını sağlayan yönetilen bir dosya aktarımı (MFT) çözümüdür.
Saldırıların 27 Mayıs'ta, uzun ABD Anma Günü tatili boyunca başladığına inanılıyor ve BleepingComputer, saldırılar sırasında çalınan çok sayıda kuruluşun farkında.
O zamanlar saldırıların arkasında olduğu belirsiz olsa da, grup tarafından yapılan önceki saldırılarla benzerlikler nedeniyle klop fidye yazılımı operasyonunun sorumlu olduğuna inanılıyordu.
Clop fidye yazılımı işleminin, Ocak 2023'te Goanywhere MFT Zero Day ve 2020'de Acccellion FTA sunucularının sıfır gününün kullanılması kullanılarak daha önce veri hırsızlığı saldırılarından sorumlu yönetilen dosya aktarım yazılımını hedef aldığı bilinmektedir.
Microsoft, şimdi Nisan ayında tanıtılan yeni bir tehdit oyuncusu adlandırma şemasını kullanarak saldırıları 'Dantel Tempest'e bağladıklarını söylüyor. Dantel Tempest daha yaygın olarak TA505, FIN11 veya Dev-0950 olarak bilinir.
Şu anda, klop fidye yazılımı operasyonu kurbanları zorlamaya başlamamış, olay müdahale ekipleri BleepingComputer'a kurbanların henüz gasp talepleri almadığını söylediler.
Ancak, Clop Gang'ın, şirket yöneticilerine talepleriyle e -posta göndermeden önce veri hırsızlığından birkaç hafta sonra beklemesi bilinmektedir.
Goanywhere gasp saldırıları sırasında gönderilen bir klop fidye notu, "Kuruluşunuzun sizinle ve liderliğinizle müzakere etmek istediğini kasıtlı olarak açıklamadık."
"Bizi görmezden gelirseniz, bilgilerinizi karaborsa hakkında satacağız ve günde 30-50 bin benzersiz ziyaretçi alan blogumuzda yayınlayacağız. Clop Hacker Group'u arayarak Google'da bizi okuyabilirsiniz."
Tarihsel olarak, Clop kurbanları zorlamaya başladığında, veri sızıntısı alanına, çalınan dosyaların yakında gasp şemilerinde daha fazla baskı uygulamak için yayınlanacağı tehditlerle yeni bir kurban akışı ekleyecekler.
Goany Where saldırıları için, çetenin gasp alanlarında listelenen kurbanları görmemiz bir aydan biraz fazla sürdü.
Clop Fidye Yazılımı, Moveit Fasar Saldırıları için Sorumluluk İddia ediyor
Fidye Yazılımında Hafta - 2 Haziran 2023 - Whodunit?
CISA Govt Ajanslarına Veri Hırsızlığı İçin Kullanılan Hareket Hatasını Yamaya Sipariş Edin
Veri hırsızlığı saldırılarında yeni Moveit Transferi Zero-Day Mass-Massploed
Microsoft: Notorious Fin7 hackerları Clop Fidye Yazılımı Saldırılarına Dönüş
Kaynak: Bleeping Computer