De ransomwarebende Clop zegt verantwoordelijk te zijn voor recente aanvallen via de kwetsbaarheid in de MOVEit file-transfer service van Progress. Slachtoffers zijn getroffen via hun supply-chain.
Volgens een vertegenwoordiger van de cybercriminelen is de Clop-ransomwarebende sinds 27 mei bezig de kwetsbaarheid in de file-transfer dienst uit te buiten. Het Microsoft Threat Intelligence-team had deze hackersgroep onlangs al geïdentificeerd als de mogelijke aanvallers.
Inmiddels zouden ook de eerste slachtoffers zijn gemaakt en zijn door deze aanvallen data buitgemaakt. Volgens Clop is het nog niet begonnen met het chanteren van slachtoffers, maar gaat dit wel gebeuren. Als bedrijven niet met geld over de brug komen, zal de gestolen data openbaar worden gemaakt.
Supply-chain slachtoffers
Een bedrijf dat door de ransomwarebende nu is getroffen, is de Britse payroll- en HR solutions-aanbieder Zellis. Via deze inbreuk, een klassieke supply chain-aanval, zijn bijvoorbeeld ook de luchtvaartmaatschappijen Aer Lingus en British Airways getroffen.
MOVEit-dienst
De getroffen beheerde MOVEit file-transfer service is ontworpen voor het bieden van veilige en compliant uitwisselen van bestanden met gevoelige data. De dienst kan hiervoor complexe workflows automatiseren, beheren en inzicht geven in alle file-transfer activiteiten in real time.
De misbruikte kwetsbaarheid, CVE-2023-34362, zorgt dat hackers met een gemanipuleerde SQL-injectie een MOVEit Transfer-instance binnendringen. Hierdoor krijgen zij toegang tot de gebruikte databases, bijvoorbeeld MySQL, Microsoft SQL en Azure SQL. De hackers kunnen hiervan vervolgens de structuur en de zich in deze databases bevindende content inzien.
Inmiddels is wel een patch beschikbaar.
Lees ook: Kritieke kwetsbaarheid in file-transfer service MOVEit
2 uur geleden
