Toplum Sağlığı Sistemleri (CHS), Fortra’nın Goany Where MFT Güvenli Dosya Aktarım Platformunda sıfır gün güvenlik açığını hedefleyen son bir saldırı dalgasından etkilendiğini söyledi.
Sağlık hizmeti sağlayıcısı Giant Pazartesi günü yaptığı açıklamada, Fortra'nın bazı CHS verilerinin tehlikeye atılmasına yol açan "bir güvenlik olayı yaşadığını" söyleyen bir uyarı yayınladığını söyledi.
Sonraki bir araştırma, ortaya çıkan veri ihlalinin 1 milyona kadar hastanın kişisel ve sağlık bilgilerini etkilediğini ortaya koydu.
Diyerek şöyle devam etti: "Bu soruşturma halen devam ederken, şirket Fortra ihlalinin şirketin bilgi sistemleri üzerinde herhangi bir etkisi olmadığına ve şirketin hasta bakımının sunumu da dahil olmak üzere iş operasyonlarının herhangi bir maddi kesintisi olmadığına inanıyor." CHS, ilk olarak dataBreaches.net tarafından tespit edilen SEC ile 8 K dosyasının dedi.
Diyerek şöyle devam etti: "Fortra ihlali tarafından tehlikeye atılan PHI ve PI ile ilgili olarak, şirket şu anda yaklaşık bir milyon kişinin bu saldırıdan etkilenmiş olabileceğini tahmin ediyor."
Ayrıca, kimlik hırsızlığı koruma hizmetleri sunacağını ve bilgisi ihlalde maruz kalan tüm etkilenen bireyleri bilgilendireceğini de sözlerine ekledi.
CHS, Amerika Birleşik Devletleri'nde 79 bağlı akut bakım hastanesi ve 1.000'den fazla bakım alanı işleten önde gelen bir sağlık hizmeti sağlayıcısıdır.
Clop fidye yazılımı çetesi bu saldırıların arkasında olduğunu iddia ediyor ve BleepingComputer'a 130'dan fazla kuruluştan verileri ihlal ettiklerini ve çaldıklarını söyledi.
Clop ayrıca, Goanywhere MFT sunucularının CVE-2023-0669 RCE hatasını hedefleyen istismarlara karşı savunmasız olan MFT sunucularını ihlal ettikten sonra verileri on gün boyunca çaldıklarını iddia etti.
Çete, BleepingComputer saldırıların ne zaman başladığını, kurbanları zaten kurban etmeye başlamış olup olmadığını ve hangi fidye istediklerini sorduğunda iddialarıyla ilgili kanıt veya ek ayrıntılar sağlamadı.
BleepingComputer, Clop'un iddialarını bağımsız olarak onaylayamadı ve Fortra henüz CVE-2023-0669 sömürüsü ve fidye yazılımının iddiaları hakkında daha fazla bilgi isteyen birkaç e-postaya cevap vermedi.
Bununla birlikte, Huntress Tehdit İstihbarat Müdürü Joe Slowik, Goanywhere MFT saldırıları ile geçmişte klop fidye yazılımlarını dağıttığı bilinen bir tehdit grubu olan TA505 arasında bağlantılar buldu.
Clop, Aralık 2020'de, dünya çapında kabaca 100 şirketten büyük miktarda veri çalmak için Acccellion'ın Legacy Dosya Transfer cihazında (FTA) sıfır gün hatasını keşfettikleri ve kullandıkları benzer bir taktik kullandığı biliniyor.
O zaman, kurbanlar, verilerinin siber suç grubunun veri sızıntı sitesinde yayınlanmasını önlemek için fidye için 10 milyon dolar talep eden e -postalar aldı.
Acccellion sunucularını hackleyen organizasyonlar, diğerlerinin yanı sıra, enerji devi kabuğu, siber güvenlik firması Qualys, süpermarket devi Kroger ve dünya çapında Stanford Medicine, Colorado Üniversitesi, Miami Üniversitesi, Kaliforniya Üniversitesi ve Maryland Üniversitesi gibi birçok üniversite sayılabilir. Baltimore (UMB).
Clop benzer bir gasp stratejisini takip ederse, muhtemelen ödemeyen kurbanlar için tehdit aktörünün veri sızıntısı sitesinde yakın gelecekte hızlı bir şekilde yayınlanacak.
Goanywhere MFT'nin geliştiricisi Fortra (eski adıyla Helpsystems olarak bilinir) geçen hafta müşterilerine yeni bir güvenlik açığının (CVE-2023-0669) vahşi doğada sıfır gün olarak sömürüldüğünü açıkladı.
Şirket, bir kavram kanıtı istismarı çevrimiçi olarak yayınlandıktan sonra acil durum güvenlik güncellemeleri yayınladı ve bu da kimlik doğrulanmamış saldırganların savunmasız sunucularda uzaktan kod yürütülmesine izin verdi.
Shodan şu anda 1.000'den fazla Goanywhere örneğinin saldırılara maruz kaldığını gösterse de, sadece 136'sı 8000 ve 8001 limanlarında (savunmasız yönetici konsolu tarafından kullanılanlar).
Fortra ayrıca, yamaları serbest bıraktıktan sonra, bazı MFTAA'larının barındırılan örneklerinin de saldırılarda ihlal edildiğini açıkladı.
CISA, Goanywhere MFT kusurunu Cuma günü bilinen sömürülen güvenlik açıkları kataloğuna ekleyerek ABD federal ajanslarına 3 Mart'a kadar önümüzdeki üç hafta içinde sistemlerini güvence altına almasını emretti.
A10 Networks, fidye yazılımı saldırısından sonra veri ihlalini onaylar
Aktif olarak sömürülen Goany Where Mft Zero-Day acil durum yaması alır
Aktif olarak sömürülen Goany Where Mft Zero-Day için serbest bırakılan istismar
Goanywhere Mft Zero-Day Güvenlik Açığı, bilgisayar korsanlarının ihlal sunucularına izin verir
Fanduels, satıcı hack'te çalınan müşteri bilgilerinin ardından veri ihlalini uyarıyor
Kaynak: Bleeping Computer