Var du ett offer för MOVEit-intrånget? Här är vad du behöver veta
Key Takeaways
Den senaste cyberattacken som utfördes av Clop ransomware collective, som har kallats “MOVEit breach”, har identifierats som en av de viktigaste hackningsincidenterna under år 2023 och påverkade totalt 2 659 olika enheter och cirka 67 miljoner individer.
Genom att utnyttja en tidigare okänd brist i MOVEit-programmet fick cyberbrottslingar obehörig åtkomst till konfidentiell information som företag som använde denna applikation lagrade.
Utbildningsinstitutioner som Johns Hopkins University och Webster University var inte förskonade från de skadliga effekterna av cyberattacken, som även omfattade andra sektorer som sjukvård, bankväsende och handel.
Personer som omfattas av MOVEits dataintrång, som har påverkat cirka 62 miljoner individer, uppmuntras att vidta proaktiva åtgärder som svar på denna anmärkningsvärda cybersäkerhetsincident. Hacket som utfördes av Clop ransomware collective anses vara en av de mest betydande attackerna 2023 och har äventyrat ett stort antal enheter, vilket resulterat i ekonomiska förluster på tiotals miljoner dollar.
MOVEit-attacken är ett nytt cybersäkerhetshot som har fått stor uppmärksamhet på grund av dess omfattande påverkan på individer och organisationer över hela världen. Den skadliga programvaran infiltrerar datorsystem genom att utnyttja sårbarheter eller via phishingmejl, och krypterar sedan filer på offrets enhet så att de blir oåtkomliga utan den dekrypteringsnyckel som angriparna har. En lösensumma, vanligtvis i kryptovaluta, krävs för att återställa åtkomsten till de låsta uppgifterna. Det finns dock ingen garanti för att lösensumman leder till att filen återställs, och det bidrar också till lönsamheten för kriminell verksamhet. Det är viktigt för användare att genomföra robusta säkerhetsåtgärder som regelbundna säkerhetskopior, hålla sitt operativsystem och
Vad är MOVEit?
MOVEit är en avancerad programvarulösning och tjänst som tillhandahålls av Progress Software, särskilt skapad för att effektivisera säker överföring av konfidentiell information mellan olika enheter som företag, myndigheter, utbildningsinstitutioner och andra organisationer som ansvarar för hantering och underhåll av sina respektive datalager. Denna mångsidiga plattform gör det möjligt för företag att säkert överföra filer och data över nätverk och samtidigt skydda sig mot obehöriga intrång eller säkerhetsöverträdelser.
I maj 2023 skedde en anmärkningsvärd förändring när Clop ransomware-gruppen komprometterade data från många enheter som använde MOVEIt.Före denna händelse var den allmänna uppfattningen att användningen av MOVEIt gav tillräckligt skydd mot sådana attacker.
Hur gick MOVEit-intrånget till?
I maj 2023 rapporterades det att det ökända Clop ransomware-kollektivet hade utnyttjat en rad tidigare okända svagheter i MOVEIt-programvaran för att utföra sina skadliga aktiviteter.
En nolldagssårbarhet är en oupptäckt säkerhetsbrist i programvara som utnyttjas av cyberbrottslingar innan den avslöjas, vilket ofta sker innan utvecklaren blir medveten om den eller släpper en korrigering. Dessa typer av sårbarheter utgör betydande risker på grund av deras potential för långvarig obehörig åtkomst, eftersom de kan förbli dolda från upptäckt under längre tidsperioder.
När säkerhetsbristerna i Progress Softwares MOVEit-applikation upptäcktes utfärdade företaget omedelbart en patch för att åtgärda dem. Tyvärr hade skadan redan skett vid den här tidpunkten. Under den tid som sårbarheterna ännu inte var kända för allmänheten eller programvaruleverantörerna utnyttjade cyberbrottslingar svagheterna för att få obehörig åtkomst till känslig information som tillhörde många organisationer som använde MOVEit för att hantera och överföra data.
Image Credit: rawpixel.com/ Freepik
Det ökända Clop ransomware-gänget upptäckte flera svagheter i SQL-injektionen i MOVEit-programvaran, vilket gjorde att de kunde få tillgång till målenheternas databaser och extrahera samt granska konfidentiella filer. Denna händelse understryker allvaret i SQL-injektionssårbarheter, som uppstår när illvilliga SQL-kommandon i smyg förs in i angivna inmatningsfält och utnyttjar säkerhetsbrister i applikationer som är beroende av databaser för stöd. Dessa olagligt inlagda instruktioner kan sedan användas för att äventyra integriteten hos databasen, vilket kan leda till att viktig information röjs eller ändras, och därmed utgöra ett formidabelt hot mot säkerheten hos berörda organisationer.
Ovan nämnda SQL-injektionssårbarheter har tilldelats CVE-identifierare i form av CVE-2023-34362, CVE-2023-35036 och CVE-2023-35708. Dessa problem åtgärdades på datum som motsvarar 31 maj 2023, 9 juni 2023 och 15 juni 2023, var för sig. Varje version av överföringsprogramvaran MOVEit var mottaglig för dessa säkerhetsbrister.Efter en lyckad exploatering får en oprivilegierad angripare obehindrad tillgång till innehållet i organisationens MOVEIt-överföringsdatabas, vilket gör att de kan både ladda ner, ändra
Effekten av MOVEit-intrånget
Enligt Emisofts analys och statistik om MOVEit-dataintrånget, per den 9 november 2023 har 2 659 organisationer påverkats av MOVeit-intrånget, och över 67 miljoner människor har påverkats med organisationer huvudsakligen baserade i USA, Kanada, Tyskland och Storbritannien.
Utbildningssektorn har drabbats hårt av cyberattacker, vilket framgår av den obehöriga åtkomsten till universitetsdatabaser som rapporterats från olika institutioner som New Yorks offentliga skolsystem, Johns Hopkins University, University of Alaska och Webster University, utöver flera framstående andra. Dessutom har sjukvårdsindustrin, bank- och finansinstitut och företag också upplevt betydande störningar på grund av dessa skadliga intrång.
Flera högprofilerade företag har enligt uppgift fallit offer för MOVEit ransomware-attacken, inklusive det ansedda BBC, den globala energijätten Shell, det multinationella företaget Siemens Energy, det kända professionella tjänsteföretaget Ernst & Young och det prestigefyllda flygbolaget British Airways.
Den 25 september 202 publicerade BORN Ontario , en ledande registertjänst för prenatala, nyfödda och barn, ett uttalande om MOVEit-intrånget där de avslöjade att de hade drabbats av MOVEit-intrånget. Enligt deras rapport gjorde MOVEit-sårbarheten det möjligt för obehöriga skadliga tredjepartsaktörer att komma åt och kopiera filer med personlig hälsoinformation i BORN Ontarios register, som hade överförts med hjälp av programvaran för säker filöverföring.
Born Ontario reagerade snabbt genom att separera nätverket, demontera den komprometterade servern och inleda en undersökning i samarbete med experter på informationssäkerhet för att bedöma omfattningen av intrånget och identifiera exakt vilka uppgifter som hade stulits.
Många institutioner har fallit offer för cyberattacker på grund av sitt beroende av tredjepartsleverantörer som använder MOVEit dataöverföringsverktyg, snarare än att direkt använda det själva. Detta har resulterat i betydande ekonomiska förluster till följd av krav på ransomware och nödvändiga säkerhetsförbättringar, som tillsammans uppgår till miljarder dollar i olika drabbade organisationer.
Du har drabbats av dataintrånget i MOVEit. Vad händer nu?
Det är absolut nödvändigt för personer som fortsätter att använda MOVEit att omedelbart uppdatera sin programvara till den senaste versionen för att skydda sina dokument och sin information mot potentiella cyberattacker från illvilliga aktörer. Tyvärr är det digitala landskapet och de applikationer som används i det känsliga för säkerhetsöverträdelser som hackning och ransomware. För att minska dessa risker bör användarna inta en proaktiv hållning genom att regelbundet byta lösenord, använda antiviruslösningar och aktivera multifaktorautentiseringsmekanismer.
Trots att robusta säkerhetsåtgärder som kryptering och åtkomstkontroller har implementerats, vilket det senaste dataintrånget i MOVEit visade, är det fortfarande möjligt för mycket skickliga cyberbrottslingar att upptäcka tidigare osynliga sårbarheter i system.