MOVEit ihlali, 2023'ün en büyük fidye yazılımı saldırılarından biri ve dünya çapında milyonlarca insanı etkiledi.
Temel Çıkarımlar
- Clop fidye yazılımı grubu tarafından gerçekleştirilen MOVEit ihlali, 2.659 kuruluşu ve 67 milyon kişiyi etkileyen 2023'ün en büyük saldırılarından biri.
- İhlal, MOVEit uygulamasındaki sıfır gün güvenlik açıklarından yararlanarak saldırganların yazılımı kullanan kuruluşlar tarafından depolanan hassas verilere erişmesine olanak sağladı.
- Eğitim sektörü bu ihlalden büyük ölçüde etkilendi; hedef alınanlar arasında John Hopkins ve Webster Üniversitesi gibi üniversiteler de vardı. Etkilenen diğer sektörler arasında sağlık, finans ve ticaret yer alıyor.
MOVEit ihlalinden etkilenen 62 milyon kişiden biri misiniz? MOVEit ihlali, Clop fidye yazılımı grubunun binlerce kuruluştan fidye alıp on milyonlarca dolar kazanmasıyla 2023'ün en büyük saldırılarından biri.
Peki MOVEit fidye yazılımı saldırısı nedir ve bu kadar çok insanı nasıl etkiledi?
MOVEit Nedir?
MOVEit, Progress Software tarafından geliştirilen, hassas verilerin kuruluşlar ve kişiler arasında güvenli aktarımını kolaylaştırmak için tasarlanmış güvenli bir dosya aktarım yazılımı ve hizmetidir. MOVEit işletmeler, devlet kurumları, üniversiteler ve temel olarak herhangi bir kuruluş tarafından kullanılır. Verilerini saklayıp yöneterek şirketlerin dosyaları ve verileri korumak için güvenli bir şekilde aktarmalarına olanak tanır itibaren
yetkisiz erişim veya ihlaller.Ancak Mayıs 2023'te, Clop fidye yazılımı grubunun, verileri için MOVEIt'i kullanan binlerce kuruluşun verilerini hacklemesiyle bu durum sona erdi.
MOVEit İhlali Nasıl Gerçekleşti?
Kötü şöhretli Clop fidye yazılımı grubu, Mayıs 2023'te MOVEIt uygulamasındaki birden fazla sıfır gün güvenlik açığından yararlandı.
Sıfır gün güvenlik açığı satıcının veya kamuoyunun bilmediği ve bir düzeltme veya yama yayınlanmadan önce saldırganlar tarafından istismar edilen bir yazılım güvenlik kusurudur. Sıfır gün güvenlik açıkları özellikle tehlikelidir çünkü satıcının bilgisi olmadan çok uzun bir süre boyunca gizlice kullanılabilirler.
Progress Software sonunda bu güvenlik açıklarını düzeltti ancak artık çok geçti. Bu güvenlik açığının halk ve satıcılar tarafından bilinmediği dönemde saldırganlar, verilerini yönetmek ve aktarmak için MOVEit'i kullanan binlerce kuruluşun verilerine erişti ve bu verileri ihlal etti.
Clop fidye yazılımı grubu, MOVEit uygulamasında çok sayıda SQL enjeksiyon güvenlik açığı keşfetti ve bu güvenlik açıkları, kuruluşların veritabanına erişmelerine ve verileri indirip görüntülemelerine olanak tanıdı. SQL enjeksiyonu bir güvenlik açığıdır Veritabanı destekli bir uygulamadaki güvenlik açıklarından yararlanarak giriş alanlarına kötü amaçlı SQL kodunun yerleştirildiği yer. Yetkisiz kod, veritabanını manipüle ederek hassas bilgileri açığa çıkarabilir veya değiştirebilir.
SQL enjeksiyon güvenlik açıkları CVE-2023-34362, CVE-2023-35036 ve CVE-2023-35708 olarak kayıtlıdır ve sırasıyla 31 Mayıs 2023, 9 Haziran 2023 ve 15 Haziran 2023 tarihlerinde yamalanmıştır. MOVEit aktarım uygulamasının tüm sürümleri bu güvenlik açıklarına karşı savunmasızdı. Kötüye kullanıldığında, kimliği doğrulanmamış bir saldırganın kuruluşun MOVEIt aktarım veritabanının içeriğine erişmesine olanak tanır. Bu, saldırganın veritabanlarını herhangi bir kısıtlama olmaksızın indirebileceği, değiştirebileceği ve hatta silebileceği anlamına gelir.
MOVEit İhlalinin Etkisi
Emisoft'un analizine göre MOVEit veri ihlaline ilişkin istatistikler, 9 Kasım 2023 itibarıyla 2.659 kuruluşun MOVeit ihlalinden etkilendiğini, 67 milyonu aşkın kişi, çoğunlukla ABD, Kanada, Almanya ve Birleşik Krallık merkezli kuruluşlardan etkilendi.
Çok sayıda üniversitenin verilerinin bu saldırganlar tarafından ele geçirildiği eğitim, bu durumdan en çok etkilenen sektör oldu. Bu ihlalden etkilenen eğitim kuruluşları arasında New York şehrinin devlet okulu sistemi John yer almaktadır. Hopkins Üniversitesi, Alaska Üniversitesi ve Webster Üniversitesi, diğer popülerlerin yanı sıra üniversiteler. Bu ihlalden büyük ölçüde etkilenen diğer sektörler arasında sağlık sektörü, bankalar, finans kurumları ve işletmeler yer alıyor.
MOVEit fidye yazılımından etkilenen tanınmış kuruluşlardan bazıları arasında BBC, Shell, Siemens Energy, Ernst &Young ve British Airways yer alıyor.
25 Eylül 202'de önde gelen doğum öncesi, yenidoğan ve çocuk kayıt hizmeti,DOĞAN OntarioMOVEit ihlaliyle ilgili olarak MOVEit ihlalinden etkilendiklerini belirten bir açıklama yayınladı. Raporlarına göre MOVEit güvenlik açığı, yetkisiz kötü niyetli üçüncü taraf aktörlerin dosyalara erişmesine ve bunları kopyalamasına izin verdi. BORN Ontario kayıtlarında yer alan ve güvenli dosya aktarım yazılımı kullanılarak aktarılan kişisel sağlık bilgileri.
Buna yanıt olarak Born Ontario, sistemi derhal izole etti, etkilenen sunucuyu hizmet dışı bıraktı ve bir Soruşturmanın ciddiyetini ve hangi spesifik verilerin kaybolduğunu tespit etmek için siber güvenlik uzmanlarıyla ortaklık kurmak çalındı.
Bu kuruluşların birçoğu MOVEit uygulamasını kullandıkları için değil, MOVEit transfer uygulamasını kullanan üçüncü taraf satıcıların himayesi altına alınması, onların da ihlal edildi. Fidye yazılımı ödemeleri ve diğer güvenlik düzeltmeleri nedeniyle milyarlarca dolara mal olan diğer kuruluşlar için de benzer bir durum söz konusu.
MOVEit İhlalinden Etkilendiniz. Sırada ne var?
Hala MOVEit kullanıyorsanız, dosyalarınızın ve verilerinizin bu bilgisayar korsanları tarafından çalınmasını önlemek için hemen en son sürüme yama yapın. İnternet ve onu kullanan yazılımlar ne yazık ki saldırılara ve fidye yazılımlarına eğilimlidir ve kendinizi güvende tutmalısınız. Parolaları düzenli olarak değiştirerek, antivirüs yazılımı kullanarak ve çok faktörlü özelliği etkinleştirerek varlıklarınızın güvenliğini sağlayın kimlik doğrulama.
Yine de, MOVEit ihlalinin gösterdiği gibi, bunların hepsini yapabilirsiniz ve bir bilgisayar korsanları ekibi daha önce hiç görülmemiş bir istismar bulacaktır.
