Bạn có phải là nạn nhân của vi phạm MOVEit không? Đây là những gì bạn cần biết
Bài học chính
Cuộc tấn công mạng gần đây do tập thể ransomware Clop gây ra, được mệnh danh là “vụ vi phạm MOVEit”, đã được xác định là một trong những vụ hack quan trọng nhất năm 2023, ảnh hưởng đến tổng cộng 2.659 thực thể khác nhau và khoảng 67 triệu người. cá nhân.
Khai thác một lỗ hổng chưa từng được biết trước đây trong chương trình MOVEit, tội phạm mạng đã xâm nhập trái phép vào thông tin bí mật mà các doanh nghiệp sử dụng ứng dụng này đang lưu trữ.
Các tổ chức giáo dục như Đại học Johns Hopkins và Đại học Webster không tránh khỏi những tác động bất lợi của cuộc tấn công mạng, cuộc tấn công này còn mở rộng sang các lĩnh vực khác bao gồm chăm sóc sức khỏe, ngân hàng và thương mại.
Các cá nhân nằm trong phạm vi vi phạm dữ liệu MOVEit, đã ảnh hưởng đến khoảng 62 triệu cá nhân, được khuyến khích thực hiện các biện pháp chủ động để ứng phó với sự cố an ninh mạng đáng chú ý này. Được coi là một trong những cuộc tấn công quan trọng nhất năm 2023, vụ hack do tập thể ransomware Clop thực hiện đã xâm phạm một số lượng đáng kể các thực thể, dẫn đến tổn thất tài chính lên tới hàng chục triệu đô la.
Cuộc tấn công ransomware MOVEit là một mối đe dọa an ninh mạng gần đây đã thu hút được sự chú ý đáng kể do tác động rộng rãi của nó đối với các cá nhân và tổ chức trên toàn thế giới. Phần mềm độc hại này xâm nhập vào hệ thống máy tính bằng cách khai thác lỗ hổng hoặc thông qua email lừa đảo, sau đó mã hóa các tệp trên thiết bị của nạn nhân, khiến chúng không thể truy cập được nếu không có khóa giải mã do kẻ tấn công nắm giữ. Yêu cầu thanh toán tiền chuộc, thường bằng tiền điện tử, được thực hiện như một sự trao đổi để khôi phục quyền truy cập vào dữ liệu bị khóa. Tuy nhiên, không có gì đảm bảo rằng việc trả tiền chuộc sẽ giúp khôi phục tập tin thành công và nó cũng góp phần mang lại lợi nhuận cho các hoạt động tội phạm. Điều quan trọng là người dùng phải thực hiện các biện pháp bảo mật mạnh mẽ như sao lưu thường xuyên, giữ nguyên hệ điều hành và
MOVEit là gì?
MOVEit là một giải pháp và dịch vụ phần mềm tiên tiến do Progress Software cung cấp, được tạo ra đặc biệt để hợp lý hóa việc truyền tải thông tin bí mật một cách an toàn giữa các thực thể khác nhau như tập đoàn, cơ quan chính phủ, tổ chức giáo dục và các tổ chức khác chịu trách nhiệm xử lý và duy trì kho dữ liệu tương ứng của họ. Nền tảng linh hoạt này cho phép doanh nghiệp truyền tệp và dữ liệu một cách an toàn qua mạng đồng thời bảo vệ khỏi sự xâm nhập trái phép hoặc vi phạm bảo mật.
Vào tháng 5 năm 2023, một sự thay đổi đáng chú ý đã xảy ra khi nhóm ransomware Clop xâm phạm dữ liệu của nhiều thực thể sử dụng MOVEIt. Trước sự kiện này, người ta thường tin rằng việc sử dụng MOVEIt sẽ cung cấp sự bảo vệ đầy đủ trước các cuộc tấn công như vậy.
Vi phạm MOVEit xảy ra như thế nào?
Vào tháng 5 năm 2023, có thông tin cho rằng tập thể ransomware Clop khét tiếng đã lợi dụng một loạt điểm yếu chưa được biết trước đây trong phần mềm MOVEIt để thực hiện các hoạt động độc hại của chúng.
Lỗ hổng zero-day đề cập đến điểm yếu bảo mật chưa được phát hiện trong phần mềm bị tội phạm mạng lợi dụng trước khi nó được tiết lộ, điều này thường xảy ra trước khi nhà phát triển biết đến nó hoặc phát hành bản vá. Những loại lỗ hổng bảo mật này gây ra rủi ro đáng kể do có khả năng bị truy cập trái phép trong thời gian dài vì chúng có thể được che giấu để không bị phát hiện trong thời gian dài.
Khi phát hiện ra các lỗ hổng bảo mật trong ứng dụng MOVEit của Progress Software, công ty đã nhanh chóng đưa ra bản vá để giải quyết chúng. Thật không may, đến thời điểm này, thiệt hại đã xảy ra. Trong thời gian công chúng hoặc nhà cung cấp phần mềm chưa biết đến các lỗ hổng này, tội phạm mạng đã khai thác điểm yếu để truy cập trái phép vào thông tin nhạy cảm của nhiều tổ chức sử dụng MOVEit để quản lý và truyền dữ liệu.
Tín dụng hình ảnh: rawpixel.com/Freepik
Nhóm ransomware khét tiếng Clop đã phát hiện ra một số điểm yếu của SQL SQL trong phần mềm MOVEit, cho phép chúng truy cập vào cơ sở dữ liệu của các thực thể mục tiêu và trích xuất cũng như đọc các tệp bí mật. Sự cố này nhấn mạnh mức độ nghiêm trọng của các lỗ hổng SQL SQL, xảy ra khi các lệnh SQL độc hại được lén lút đưa vào các trường đầu vào được chỉ định, lợi dụng các lỗi bảo mật vốn có trong các ứng dụng dựa vào cơ sở dữ liệu để được hỗ trợ. Sau đó, các hướng dẫn được cấy ghép bất hợp pháp này có thể được sử dụng để xâm phạm tính toàn vẹn của kho lưu trữ, dẫn đến khả năng tiết lộ hoặc sửa đổi thông tin quan trọng, từ đó đặt ra mối đe dọa ghê gớm đối với tình hình an ninh của các tổ chức bị ảnh hưởng.
Các lỗ hổng chèn SQL nói trên đã được gán mã định danh CVE dưới dạng CVE-2023-34362, CVE-2023-35036 và CVE-2023-35708. Các vấn đề này đã được khắc phục lần lượt vào các ngày tương ứng là ngày 31 tháng 5 năm 2023, ngày 9 tháng 6 năm 2023 và ngày 15 tháng 6 năm 2023. Mỗi phiên bản của phần mềm chuyển MOVEit đều dễ mắc phải những sai sót bảo mật này. Sau khi khai thác thành công, kẻ tấn công không có đặc quyền sẽ được cấp quyền truy cập tự do vào nội dung cơ sở dữ liệu chuyển giao MOVEIt của tổ chức, cho phép chúng tải xuống, sửa đổi
Tác động của vi phạm MOVEit
Theo phân tích của Emisoft và số liệu thống kê liên quan đến vi phạm dữ liệu MOVEit, kể từ ngày 9 Tính đến tháng 11 năm 2023, 2.659 tổ chức đã bị ảnh hưởng do vi phạm MOVeit và hơn 67 triệu người đã bị ảnh hưởng bởi các tổ chức chủ yếu có trụ sở tại Hoa Kỳ, Canada, Đức và Vương quốc Anh.
Ngành giáo dục đã bị ảnh hưởng nghiêm trọng bởi các cuộc tấn công mạng, bằng chứng là việc truy cập trái phép vào cơ sở dữ liệu của các trường đại học được báo cáo ở nhiều tổ chức khác nhau như hệ thống trường công lập của Thành phố New York, Đại học Johns Hopkins, Đại học Alaska và Đại học Webster, cùng với một số người nổi bật khác. Hơn nữa, ngành chăm sóc sức khỏe, các tổ chức tài chính ngân hàng và các tập đoàn cũng đã trải qua sự gián đoạn đáng kể do những cuộc xâm nhập độc hại này.
Một số công ty nổi tiếng đã trở thành nạn nhân của cuộc tấn công ransomware MOVEit, bao gồm BBC quý giá, gã khổng lồ năng lượng toàn cầu Shell, tập đoàn đa quốc gia Siemens Energy, công ty dịch vụ chuyên nghiệp nổi tiếng Ernst & Young và hãng hàng không danh tiếng British Airways.
Vào ngày 25 tháng 9 năm 202, cơ quan đăng ký thai sản, trẻ sơ sinh và trẻ em hàng đầu, BORN Ontario, đã đưa ra một tuyên bố về Vi phạm MOVEit tiết lộ rằng họ bị ảnh hưởng bởi vi phạm MOVEit. Theo báo cáo của họ, lỗ hổng MOVEit cho phép các tác nhân bên thứ ba độc hại trái phép truy cập và sao chép các tệp thông tin sức khỏe cá nhân có trong hồ sơ BORN Ontario, đã được chuyển bằng phần mềm truyền tệp an toàn.
Để phản ứng kịp thời, Born Ontario đã nhanh chóng tách mạng, tháo dỡ máy chủ bị xâm nhập và bắt đầu một cuộc điều tra với sự cộng tác của các chuyên gia bảo mật thông tin để đánh giá mức độ vi phạm và xác định dữ liệu chính xác đã bị đánh cắp.
Nhiều tổ chức đã trở thành nạn nhân của các cuộc tấn công mạng do họ phụ thuộc vào các nhà cung cấp dịch vụ bên thứ ba sử dụng công cụ truyền dữ liệu MOVEit, thay vì trực tiếp sử dụng công cụ này. Điều này đã dẫn đến tổn thất tài chính đáng kể xuất phát từ nhu cầu ransomware và các cải tiến bảo mật cần thiết, lên tới hàng tỷ đô la cho nhiều tổ chức bị ảnh hưởng khác nhau.
Bạn đã bị ảnh hưởng bởi vi phạm MOVEit. Tiếp theo là gì?
Điều bắt buộc đối với những cá nhân tiếp tục sử dụng MOVEit là phải cập nhật kịp thời phần mềm của họ lên phiên bản mới nhất để bảo vệ tài liệu và thông tin của họ trước các cuộc tấn công mạng tiềm ẩn do các tác nhân độc hại gây ra. Đáng tiếc là bối cảnh kỹ thuật số và các ứng dụng được sử dụng trong đó rất dễ bị vi phạm an ninh như hack và ransomware. Để giảm thiểu những rủi ro này, người dùng nên áp dụng phương pháp chủ động bằng cách thực hiện thay đổi mật khẩu thường xuyên, sử dụng các giải pháp chống vi-rút và kích hoạt cơ chế xác thực đa yếu tố.
Mặc dù đã triển khai các biện pháp bảo mật mạnh mẽ, chẳng hạn như mã hóa và kiểm soát quyền truy cập, như đã được chứng minh trong sự cố vi phạm dữ liệu MOVEit gần đây, nhưng tội phạm mạng có tay nghề cao vẫn có thể phát hiện ra các lỗ hổng chưa từng thấy trước đây trong hệ thống.