Băng nhóm ransomware Clop bắt đầu tống tiền các nạn nhân bị đánh cắp dữ liệu MOVEit

Các mục nhập này xuất hiện sau khi các tác nhân đe dọa khai thác lỗ hổng zero-day trong nền tảng truyền tệp an toàn MOVEit Transfer vào ngày 27 tháng 5 để đánh cắp các tệp được lưu trữ trên máy chủ.

Băng đảng Clop nhận trách nhiệm về các cuộc tấn công, tuyên bố đã tấn công "hàng trăm công ty" và cảnh báo rằng tên của chúng sẽ được thêm vào một trang web rò rỉ dữ liệu vào ngày 14 tháng 6 nếu các cuộc đàm phán không diễn ra.

Nếu yêu cầu tống tiền không được thanh toán, những kẻ đe dọa sẽ bắt đầu rò rỉ dữ liệu bị đánh cắp vào ngày 21 tháng 6.

Clop bắt đầu tống tiền các công ty

Ngày 14 tháng 6, các tác nhân đe dọa Clop đã liệt kê mười ba công ty trên trang web rò rỉ dữ liệu của chúng nhưng không nói rõ liệu chúng có liên quan đến các cuộc tấn công MOVEit Transfer hay là các cuộc tấn công mã hóa ransomware hay không.

Sau đó, một trong những công ty  đã bị xóa, Greenfield CA, cho biết việc niêm yết là do nhầm lẫn hoặc các cuộc đàm phán đang diễn ra.

Năm trong số các công ty được liệt kê, công ty dầu khí đa quốc gia Shell của Anh, UnitedHealthcare Student Resources (UHSR), Đại học Georgia (UGA) và University System of Georgia (USG), Heidelberger Druck và Landal Greenparks, đã xác nhận với BleepingComputer rằng họ đã bị ảnh hưởng ở các mức độ khác nhau bởi các cuộc tấn công MOVEit.

Shell cho biết chỉ một số ít nhân viên và khách hàng bị ảnh hưởng và Landal nói với BleepingComputer rằng những kẻ đe dọa đã truy cập tên và thông tin liên hệ của khoảng 12.000 khách.

Hệ thống Đại học Georgia, Đại học Georgia và UnitedHealthcare Student Resources nói với BleepingComputer rằng họ vẫn đang điều tra vụ tấn công và sẽ tiết lộ mọi việc xâm nhập nếu được phát hiện.

Công ty in Đức Heidelberger Druck nói với BleepingComputer cho biết trong khi họ sử dụng MOVEit Transfer, qua phân tích của họ cho thấy nó không dẫn đến bất kỳ tấn công dữ liệu nào.

Putnam Investments, công ty cũng bị  liệt kê trên trang web rò rỉ dữ liệu của Clop, nói với BleepingComputer rằng họ đang xem xét vấn đề.

Trong khi các công ty khác bị  liệt kê trên trang web của Clop chưa trả lời email củaBleepingComputer, nhà nghiên cứu bảo mật Yutaka Sejiyama của Macnica đã chia sẻ dữ liệu với BleepingComputer xác nhận rằng họ hiện đang sử dụng nền tảng MOVEit Transfer hoặc đã từng làm như vậy trong quá khứ.

Tấn công dữ liệu đã được tiết lộ

Các tổ chức khác đã tiết lộ các vi phạm MOVEit Transfer bao gồm, Zellis (BBC, Boots và Aer Lingus, HSE của Ireland đến Zellis), Đại học Rochester, chính phủ Nova Scotia, bang Missouri của Hoa Kỳ, bang Illinois của Hoa Kỳ, BORN Ontario, Ofcam, Extreme Networks và Hội đồng Nội khoa Hoa Kỳ (ABIM).

Trong các cuộc tấn công tương tự trước đây bằng cách sử dụng các lỗ hổng zero-day trong các cuộc tấn công truyền tệp được quản lý của Accellion FTA, GoAnywhere MFT và SolarWinds Serv-U, những kẻ đe dọa đã yêu cầu khoản tiền chuộc 10 triệu USD để ngăn chặn việc rò rỉ dữ liệu.

BleepingComputer đã biết được hoạt động tống tiền không thành công lắm trong nỗ lực tống tiền GoAnywhere, với các công ty thích tiết lộ các cuộc tấn công dữ liệu hơn là trả tiền chuộc.

Ngày 15 tháng 6, CNN đã báo cáo rằng Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đang làm việc với một số cơ quan liên bang của Hoa Kỳ cũng đã bị xâm phạm bằng cách sử dụng lỗ hổng zero-day MOVEit. Hai cơ quan của Bộ Năng lượng Hoa Kỳ (DOE) cũng bị xâm phạm, theo Federal News Network.

Tuy nhiên, các tác nhân đe dọa Clop trước đây đã nói với BleepingComputer rằng chúng tự động xóa mọi dữ liệu bị đánh cắp từ chính phủ.

"Tôi muốn nói rằng quân đội, bệnh viện nhi đồng, Chính phủ, v.v. chúng tôi không tấn công và dữ liệu của họ đã bị xóa", chiến dịch ransomware tuyên bố.

Thật không may, một khi dữ liệu bị đánh cắp, không có cách nào để xác nhận xem dữ liệu có thực sự bị xóa như đã hứa hay không và nên được coi là có rủi ro.

Nguồn: bleepingcomputer.com