Begin juni drong de Amerikaanse securitywaakhond CISA aan om een zero-day kwetsbaarheid in MOVEit te patchen. Het product van Progress Software wordt door talloze bedrijven wereldwijd gebruikt om op een versleutelde wijze veelal gevoelige bestanden te versturen. Achter de aanvallen zit de aan Rusland gelinkte CL0P-ransomwarebende, die miljoenen eist als losgeld van hun vele slachtoffers.
MOVEit is een managed file transfer (MFT)-service en populair bij banken, bedrijven, overheidsinstanties en andere grote organisaties. De dienst komt in contact met allerlei klantgegevens en gevoelige data van medewerkers.
De MOVEit-kwetsbaarheid staat bekend als CVE-2023-34362 onder cyber-experts. Met deze exploitatie kan een kwaadwillende een SQL-injection uitvoeren binnen de software, waardoor deze actor zijn of haar privileges kan escaleren en data kan wegzuilen. Het is zoals zo vaak een kwestie van lateraal bewegen binnen een netwerk zodra een kwetsbaarheid is geëxploiteerd om echt grote schade aan te richten. Toch kan de data die bij MOVEit bekend is van een gebruiker al waardevol zijn voor hackers. Op 31 mei van dit jaar maakte Progress aan klanten bekend dat er sprake was van dit gevaar, waarna steeds meer duidelijkheid ontstond over de aard van het cyber-incident.
De actieve exploitatie van MOVEit werd opgeëist door de CL0P-ransomwarebende, die aan talloze partijen liet weten gevoelige gegevens in handen te hebben of te hebben gewist. Soms ging het om een directe aanval, maar in veel gevallen ook via-via. Zo maakten de BBC en luchtvaartmaatschappijen Aer Lingus en British Airways gebruik van payroll-software Zellis. Deze partij zette op zijn beurt MOVEit in voor het eigen platform. Andermaal blijkt dat je bijna nooit helemaal zeker kunt weten hoe je software-stack getroffen kan worden.
CL0P lijkt zich te hebben gericht op voornamelijk overheidsinstanties en kritieke infrastructuur zoals banken en energiemaatschappijen. Op internationaal gebied had men het gemunt op bijvoorbeeld Deutsche Bank, Schneider Electric en Amerikaanse universiteiten (zoals UCLA en Washington State University). Echter was er ook variëteit te zien door de inclusie van onder meer PBI Research en Radisson Hotels America.
In Nederland?
In Nederland begon het vuurtje te lopen op 8 juni, toen Landal GreenParks bekendmaakte te zijn geraakt door de MOVEit-kwetsbaarheid. Daarbij zouden gegevens van 12.000 klanten in de verkeerde handen zijn gevallen. Het zou volgens dit bedrijf niet zijn gegaan om financiële data, reserveringsinformatie of wachtwoorden. Wel zorgt het lekken van namen en e-mailadressen voor een verhoogd phishing-gevaar.
Sinds de bekendmaking van MOVEit zijn er nog een aantal Nederlandse slachtoffers de revue gepasseerd. TomTom, Shell en ING zijn blootgesteld aan een aanval van CL0P. Volgens eerstgenoemde was er geen sprake van lekken die een “negatieve materiële impact kunnen hebben voor TomTom of zijn klanten.” Het bedrijf verschaft verder geen informatie over wat er precies gehackt was.
Shell heeft wat dat betreft enigszins hulp te bieden, hoewel men daar stelt dat er geen bewijs is van schade bij IT-systemen van Shell. Wel laat de oliegigant op de eigen website weten dat medewerkers van de BG Group mogelijk hun gegevens op straat hebben liggen, maar het is daar beknopt over. Klanten die wel twijfel hebben over het gevaar dat men loopt, kunnen gratis terecht bij het telefoonnummer 8004020009.
Op 11 juli werd eveneens bekend dat cybercriminelen bij ING binnen zijn gekomen. Echter gaat het bij de Nederlandse multinational om duizenden Duitse klanten. Het betrof klantgegevens die waren overgedragen aan datadienstverlener Majorel. De eigen IT-systemen waren ook hier niet geraakt, meent de bank.
Grote impact met steeds meer datalekken, duidelijkheid nodig
Zonder specifieke partijen te betichten van het verhullen van datalekken is het vaak zo dat later meer bekend wordt als er ernstige gevaren voor klanten zijn. Zo duurde het eerder dit jaar even voordat het datalek bij marktonderzoeker Blauw en softwareleverancier Nebu volledig in kaart gebracht werd.
Tip: Blauw zorgt voor groot Nederlands datalek, maar wie is de schuldige?
Op internationaal gebied zouden er volgens dreigingsanalist bij Emisoft Brett Callow zeker 200 organisaties getroffen zijn. Hierbij zouden er minimaal 33 datalekken hebben plaatsgevonden, laat hij TechCrunch weten. Zo zijn er toch zeker 17,5 miljoen mensen betrokken bij de aanval.
CL0P is een oude bekende bij onder andere Shell, omdat het een andere filetransferdienst genaamd Accellion in 2020 te grazen nam. Het is maar goed ook dat men nu dus in ieder geval een hulplijn heeft opgetuigd, maar net als bij andere bedrijven zouden we meer informatie verlangen. Hoe ver kwamen de criminelen precies? Wanneer is een eventueel intern onderzoek klaar om iets te rapporteren naar de buitenwereld? Alleen zeggen dat er “geen negatieve materiële impact” voor klanten bestaat, is niet genoeg.
Het gaat hier soms om beursgenoteerde bedrijven die doodsbang zijn voor reputatieschade, maar veelal mogen we toch echt heldere informatie verwachten. Dit is al helemaal het geval bij overheidsinstanties, waar we vooralsnog geen Nederlands voorbeeld van kennen als het gaat om MOVEit.
Voor eenieder die gebruikmaakt van de MOVEit-software en nog niet gepatcht heeft: doe dat zo snel mogelijk. Nog altijd is het bijhouden van software-updates van cruciaal belang om security op orde te hebben.
2 dagen geleden
