MOVEit-rikkomus on yksi vuoden 2023 suurimmista kiristysohjelmahyökkäyksistä, ja se on vaikuttanut miljooniin ihmisiin maailmanlaajuisesti.

Avaimet takeawayt

  • Clop ransomware -ryhmän toteuttama MOVEit-murto on yksi vuoden 2023 suurimmista hakkeroista, ja se vaikuttaa 2 659 organisaatioon ja 67 miljoonaan ihmiseen.
  • Rikkomus hyödynsi MOVEit-sovelluksen nollapäivän haavoittuvuuksia, jolloin hyökkääjät pääsivät ohjelmistoa käyttävien organisaatioiden tallentamiin arkaluontoisiin tietoihin.
  • Rikkomus vaikutti voimakkaasti koulutussektoriin, ja kohteeksi joutuivat yliopistot, kuten John Hopkins ja Webster University. Muita vaikuttavia aloja ovat terveys, rahoitus ja liiketoiminta.

Oletko yksi 62 miljoonasta ihmisestä, joita MOVEit-rikkomus koskee? MOVEit-murto on yksi vuoden 2023 suurimmista hakkeroista, kun Clop ransomware -ryhmä on lunastettu tuhansilta organisaatioilta ja tienannut kymmeniä miljoonia dollareita.

Joten mikä on MOVEit ransomware -hyökkäys ja miten se on vaikuttanut niin moniin ihmisiin?

instagram viewer

Mikä on MOVEit?

MOVEit on Progress Softwaren kehittämä suojattu tiedostonsiirtoohjelmisto ja -palvelu, joka on suunniteltu helpottamaan arkaluonteisten tietojen turvallista siirtoa organisaatioiden ja yksilöiden välillä. MOVEitiä käyttävät yritykset, valtion organisaatiot, yliopistot ja pohjimmiltaan kaikki muut tahot tallentaa ja hallinnoi tietojaan, jolloin yritykset voivat siirtää tiedostoja ja tietoja turvallisesti suojatakseen niitä alkaen luvaton pääsy tai rikkomukset.

Toukokuussa 2023 tämä kuitenkin lakkasi olemasta, kun Clop ransomware -ryhmä hakkeroi tuhansien organisaatioiden tietoihin, jotka käyttivät MOVEItiä tietoihinsa.

Kuinka MOVEit-rikkomus tapahtui?

Toukokuussa 2023 pahamaineinen Clop ransomware -ryhmä käytti hyväkseen MOVEIt-sovelluksen useita nollapäivän haavoittuvuuksia.

Nollapäivän haavoittuvuus on ohjelmiston tietoturvavirhe, jota myyjä tai yleisö ei tunne ja jota hyökkääjät käyttävät hyväkseen ennen kuin korjaus tai korjaus on saatavilla. Nollapäivän haavoittuvuudet ovat erityisen vaarallisia, koska niitä voidaan salaa hyödyntää myyjän tietämättä hyvin pitkään.

Progress Software korjasi lopulta nämä haavoittuvuudet, mutta se oli jo liian myöhäistä. Tänä aikana haavoittuvuus ei ollut yleisön ja palveluntarjoajien tiedossa, hyökkääjät pääsivät ja murtautuivat tuhansien organisaatioiden tietoihin, jotka käyttivät MOVEitiä tietojensa hallintaan ja siirtämiseen.

Kuvan luotto: rawpixel.com/Freepik

Clop ransomware -ryhmä löysi useita SQL-injektiohaavoittuvuuksia MOVEit-sovelluksesta, mikä antoi heille mahdollisuuden käyttää organisaatioiden tietokantaa sekä ladata ja tarkastella tietoja. SQL-injektio on haavoittuvuus jossa haitallista SQL-koodia lisätään syöttökenttiin, mikä hyödyntää tietokannan tukeman sovelluksen haavoittuvuuksia. Luvaton koodi voi manipuloida tietokantaa ja mahdollisesti paljastaa tai muuttaa arkaluonteisia tietoja.

SQL-injektion haavoittuvuudet on rekisteröity numeroilla CVE-2023-34362, CVE-2023-35036 ja CVE-2023-35708, ja ne on korjattu 31. toukokuuta 2023, 9. kesäkuuta 2023 ja 15. kesäkuuta 2023. Kaikki MOVEit-siirtosovelluksen versiot olivat haavoittuvia näille haavoittuvuuksille. Kun sitä käytetään hyväksi, todentamaton hyökkääjä pääsee käsiksi organisaation MOVEIt-siirtotietokannan sisältöön. Tämä tarkoittaa, että hyökkääjä voi ladata, muuttaa tai jopa poistaa tietokantoja ilman rajoituksia.

MOVEit-rikkomuksen vaikutus

Emisoftin analyysin mukaan ja MOVEit-tietomurtoa koskevat tilastot, 9.11.2023 mennessä MOVeit-loukkaus on vaikuttanut 2 659 organisaatioon, ja yli 67 miljoonaa ihmistä ovat kärsineet organisaatioista, jotka sijaitsevat pääasiassa Yhdysvalloissa ja Kanadassa, Saksassa ja Isossa-Britanniassa.

Koulutus on eniten vaikuttanut ala, ja useiden yliopistojen tiedot joutuvat hyökkääjiin. Koulutusorganisaatioihin, joihin tämä rikkomus vaikuttaa, kuuluu New Yorkin julkinen koulujärjestelmä, John Hopkinsin yliopisto, Alaskan yliopisto ja Webster University, muun muassa suosittuja yliopistot. Muita aloja, joihin tämä rikkominen vaikuttaa suuresti, ovat terveydenhuolto, pankit, rahoituslaitokset ja yritykset.

Jotkut tunnetuimmista organisaatioista, joihin MOVEit-lunnasohjelma vaikuttaa, ovat BBC, Shell, Siemens Energy, Ernst &Young ja British Airways.

25. syyskuuta 202 johtava prenataali-, vastasyntyneiden ja lasten rekisteripalvelu,SYNTYNYT Ontariossa, julkaisi MOVEit-rikkomuksesta lausunnon, joka paljasti, että MOVEit-rikkomus vaikutti heihin. Heidän raportinsa mukaan MOVEit-haavoittuvuus antoi luvattomille haitallisille kolmannen osapuolen toimijoille pääsyn ja kopioida BORN Ontario -tietueisiin sisältyviä henkilökohtaisia ​​terveystietoja, jotka oli siirretty suojatun tiedostonsiirtoohjelmiston avulla.

Vastauksena Born Ontario eristi järjestelmän välittömästi, poisti käytöstä kärsineen palvelimen ja käynnisti tutkimuksia, yhteistyössä kyberturvallisuusasiantuntijoiden kanssa selvittääkseen vakavuuden ja mitkä tiedot olivat varastettu.

Monia näistä organisaatioista hakkeroitiin, ei siksi, että he käyttivät MOVEit-sovellusta, vaan siksi, että he käyttivät niitä holhotut kolmannen osapuolen myyjät, jotka käyttivät MOVEit-siirtosovellusta, mikä johti siihen, että he saivat myös rikottu. Tilanne on samanlainen muille organisaatioille, ja se maksaa miljardeja dollareita lunnasohjelmamaksuista ja muista tietoturvakorjauksista.

MOVEit-rikkomus on vaikuttanut sinuun. Mitä seuraavaksi?

Jos käytät edelleen MOVEitiä, korjaa se välittömästi uusimpaan versioon, jotta nämä hakkerit eivät varasta tiedostojasi ja tietojasi. Internet ja sitä käyttävät ohjelmistot ovat valitettavasti alttiita hakkeroille ja kiristysohjelmille, ja sinun on pidettävä itsesi ja omaisuutesi turvassa vaihtamalla salasanoja säännöllisesti, käyttämällä virustorjuntaohjelmistoa ja ottamalla käyttöön monitekijät todennus.

Silti, kuten MOVEit-murto osoittaa, voit tehdä kaiken tämän, ja hakkeriryhmä löytää ennennäkemättömän hyväksikäytön.