當地時間6月15日(周四)殼牌公司證實,Clop勒索軟件團伙將這家英國石油和天然氣跨國公司列在其勒索網站。據信該團伙利用MOVEit文件傳輸工具漏洞攻入了公司網絡,該公司受到了影響。這是殼牌公司第二次受到針對文件傳輸服務的Clop勒索團伙的攻擊。殼牌公司在全球擁有80,000多名員工,去年報告的收入超過3810億美元。殼牌發言人告訴Recorded Future News:“我們知道網絡安全事件影響了Progress的第三方工具MOVEit Transfer,少數殼牌員工和客戶使用該工具。”他們強調“沒有證據表明殼牌的核心IT系統受到影響”,并表示他們的IT團隊繼續調查此事件。“我們沒有與黑客溝通,”發言人補充說。

另據CNN當地時間15日報道稱,美國多個聯邦機構也被黑客利用MOVEi零日漏洞攻破。據聯邦新聞網報道,美國能源部 (DOE) 的兩個實體也遭到入侵 。

受害者名單還在增加

Clop對MOVEit的黑客攻擊在英國造成了許多受害者,包括BBC、英國航空公司和愛爾蘭航空公司、藥品零售商Boots,甚至是該國的通信監管機構Ofcom。

作為MOVEit工具的直接用戶,殼牌和Ofcom在有限的設置中似乎受到的影響較小。Ofcom表示,在這次攻擊中下載了“有限數量的信息”,盡管其中一些信息是機密的,并且與其監管的公司有關,還有412名Ofcom員工的個人數據。

然而,BBC、英國航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影響,因為文件傳輸工具正被一家名為Zellis的第三方薪資服務供應商使用。

在首都運營公共交通的倫敦交通局也確認受到了該事件的影響。一位發言人告訴 Recorded Future News:“與英國的其他公司一樣,我們的一家承包商最近遭遇了數據泄露。該問題已得到解決,IT系統已得到保護。有問題的數據不包括銀行詳細信息,我們正在寫信給所有相關人員,讓他們了解這一事件。”

據《每日電訊報》報道,倫敦交通局數據庫中多達13,000名司機已收到警告,他們的個人數據在該事件中被盜,這影響了運營該市交通擁堵和停車收費計劃的承包商。

BBC新聞報道稱,專業服務公司EY也受到了影響。目前尚不清楚EY是否是Zelli的客戶,或者他們是否直接使用MOVEit Transfer。兩個已確認的Zellis用戶——BBC和英國航空公司——已警告他們的所有員工,他們的數據可能已被盜。

使用MOVEi 跨部門共享文件的新斯科舍省政府也證實受到了影響,并在一份聲明中表示,部分公民的個人信息可能已被泄露。然而,在其泄密網站上的一條消息中,Clop說,“如果你是政府、城市或警察部門……我們刪除了你的所有數據。”

雖然襲擊的全部范圍仍然未知,但新的受害者不斷挺身而出。

Clop周三(6月14日)列出了第一批據稱利用MOVEit漏洞入侵的組織。受害者名單發布在Clop的暗網泄密網站上,其中包括總部位于美國的金融服務機構1st Source 和First National Bankers Bank;總部位于波士頓的投資管理公司Putnam Investments;位于荷蘭的Landal Greenparks;和總部位于英國的能源巨頭殼牌。據BleepingComputer報道,五家上市公司——英國跨國石油和天然氣公司殼牌、佐治亞大學 (UGA) 和佐治亞大學系統 (USG)、UnitedHealthcare Student Resources (UHSR)、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer證實他們在襲擊中受到影響。

有一個例外是GreenShield Canada公司,這家提供健康和牙科福利的非營利性福利承運商,曾被列在泄漏網站上,但已被刪除。

其他受害者還包括金融軟件提供商 Datasite;教育性非營利性國家學生信息交換所;學生健康保險提供商 United Healthcare Student Resources;美國制造商 Leggett & Platt;瑞士保險公司?KK等。

約翰霍普金斯大學本周證實了一起據信與MOVEit大規模黑客攻擊有關的網絡安全事件。該大學在一份聲明中表示,數據泄露“可能影響了敏感的個人和財務信息”,包括姓名、聯系信息和健康賬單記錄。

研究人員還報告說,Clop可能早在2021年就一直在利用MOVEit漏洞。美國風險咨詢公司Kroll在一份報告中表示,雖然該漏洞在5月下旬才曝光,但其研究人員發現的活動表明Clop正在試驗將近兩年來利用此特定漏洞的方法。

Kroll研究人員說:“這一發現說明了大規模利用事件(例如MOVEit Transfer網絡攻擊)所涉及的復雜知識和計劃。”

Secureworks Counter Threat Unit威脅研究主管Chris Yule表示,網絡罪犯可能需要一些時間才能對付受害者。

“是否會有一個轉儲或滴灌還有待觀察,[但]GoAnywhere 受害者是在14天內分批發布的,”Yule說。

“Clop發布的第一個名字包括許多美國金融服務公司。雖然上傳剛剛開始,但我們預計受害者的其余部分可能位于美國,因為互聯網上的大多數MOVEit服務器都位于美國。”

Picus Security的威脅研究員Hüseyin Can Yuceel表示,更慢地公布受害者的詳細信息可能會迫使其他人支付贖金,很明顯,Clop 的威脅并不是虛張聲勢。

被勒索了應該怎么辦?

雖然到目前為止還沒有在任何受害系統上執行勒索軟件儲物柜——這與Clop在這種情況下的作案手法一致——如何處理數據泄露和勒索事件的劇本與數據加密的情況大致相似發生在。

“預防始終是抵御勒索軟件攻擊的第一要務。[之后] 能做的不多,”Can Yuceel說。

“即使備份到位,勒索軟件組織也可以釋放受害者的敏感數據并損害他們的聲譽。執法機構建議企業不要支付贖金,因為勒索軟件組織可能不會在付款后提供解密密鑰。贖金支付還存在其他風險。

“我們觀察到,已知支付贖金的組織將來更有可能成為相同或其他勒索軟件組織的目標。贖金支付還可以使勒索軟件威脅永久化,并用于資助其他非法活動。”

網絡威脅研究專家Can Yuceel警告說,對于英國不斷增加的受害者名單——現在還包括Adare SEC,金融和保險行業的專業客戶通訊服務供應商,其客戶包括Legal & General、AON和Allianz——應該特別警惕參與或支付由于嚴格的金融法規涵蓋了向俄羅斯犯罪組織支付的贖金。

“金融制裁實施辦公室認為支付贖金是違反金融制裁的行為,這是一種嚴重的刑事犯罪,可能會被判處監禁和罰款,”他說。

“因此,英國的受害者應向國家網絡安全中心報告此次攻擊,并在需要時請求支持管理網絡事件。”

倒霉的殼牌肯定不是最后一個

殼牌在2021年首次遭到Clop攻擊,當時該團伙入侵了Accellion的文件傳輸設備,企圖通過威脅泄露被盜的敏感信息來勒索使用它的公司。

對Accellion的攻擊影響了全球100多個組織,包括美國的眾多大學和加拿大航空航天制造商龐巴迪。

今年早些時候,Clop利用影響Fortra的 GoAnywhere文件傳輸產品的漏洞,該組織稱該漏洞使其能夠從130多家公司、政府和組織竊取數據,再次用于勒索目的。

開發流行的MOVEit工具的軟件公司 Progress上周宣布了影響該軟件的第二個漏洞,此前有更多的漏洞公告是由于該程序的問題造成的。

要命的漏洞目前出現了后續。6月15日,Progress發布了最新的警告,疑是發現了新的SQL注入漏洞。BleepingComputer還被告知,在Huntress高級安全研究員John Hammond發現了新一個漏洞,已被披露給 Progress——該披露可能也促使該公司發出警告。

之前在9號發布公告披露了被統稱為CVE-2023-35036 的關鍵SQL注入漏洞。 5月31日啟動的安全審計后發現,當時 Progress 發布了漏洞(CVE-2023-34362) 的補丁。這兩個編號漏洞均被用作Clop勒索軟件團伙在數據盜竊攻擊。CVE-2023-35036影響所有 MOVEit Transfer版本,并讓未經身份驗證的攻擊者破壞未修補和暴露在Internet上的服務器以竊取客戶信息。Clop勒索軟件團伙此前明確聲稱對CVE-2023-34362漏洞攻擊負責。

若出現第三個漏洞,CLOP勒索還有更多淪陷者。試目以待。

網絡安全 勒索 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接