Platform perbankan Fintech Hatch Bank telah melaporkan pelanggaran data setelah peretas mencuri informasi pribadi hampir 140.000 pelanggan dari platform berbagi file aman Fortra GoAnywhere MFT milik perusahaan.
Hatch Bank adalah perusahaan teknologi keuangan yang memungkinkan usaha kecil mengakses layanan bank dari lembaga keuangan lainnya.
Seperti dilansir oleh TechCrunchpemberitahuan pelanggaran data yang dikirim ke pelanggan yang terkena dampak dan diajukan ke kantor Kejaksaan Agung memperingatkan bahwa peretas mengeksploitasi kerentanan dalam perangkat lunak MFT GoAnywhere untuk mencuri data 139.493 pelanggan.
“Pada 29 Januari 2023, Fortra mengalami insiden dunia maya ketika mereka mengetahui adanya kerentanan yang terletak di perangkat lunak mereka,” peringatan pemberitahuan pelanggaran data Hatch Bank.
“Pada tanggal 3 Februari 2023, Hatch Bank diberitahu oleh Fortra tentang insiden tersebut dan mengetahui bahwa filenya yang terdapat di situs GoAnywhere Fortra dapat diakses secara tidak sah.”
Hatch mengatakan mereka melakukan peninjauan terhadap data yang dicuri dan menetapkan bahwa nama pelanggan dan nomor jaminan sosial telah dicuri oleh penyerang.
Bank menambahkan bahwa mereka memberikan akses gratis ke layanan pemantauan kredit selama dua belas bulan kepada individu yang terkena dampak.
Ini adalah pelanggaran data kedua yang dikonfirmasi yang disebabkan oleh serangan MFT GoAnywhere, dengan yang pertama diungkapkan oleh Sistem Kesehatan Masyarakat (CHS) bulan lalu.
Geng ransomware Clop di balik pelanggaran GoAnywhere
Sementara Hatch Bank tidak mengungkapkan aktor ancaman apa yang melakukan serangan itu, geng ransomware Clop memberi tahu BleepingComputer bahwa mereka berada di baliknya. serangan-serangan ini dan telah mencuri data dari lebih dari 130 organisasi.
Geng ransomware mengatakan bahwa mereka memanfaatkan kerentanan zero-day di platform berbagi file aman GoAnywhere MFT Fortra untuk mencuri data selama sepuluh hari.
Kerentanan sekarang dilacak sebagai CVE-2023-0669 dan merupakan kerentanan eksekusi kode jarak jauh yang memungkinkan aktor ancaman jarak jauh mengakses server. Pergi ke mana saja mengungkapkan kerentanannya kepada pelanggan pada awal Februari setelah mengetahui bahwa itu dieksploitasi secara aktif dalam serangan.
Sebuah mengeksploitasi dirilis untuk umum untuk kerentanan sehari sebelum platform menerima tambalan darurat pada tanggal 7 Februari.
BleepingComputer tidak dapat secara independen mengonfirmasi klaim Clop bahwa mereka berada di balik serangan tersebut, dan Fortra tidak pernah membalas email kami.
Namun, Manajer Intelijen Ancaman Huntress Joe Slowik Juga menemukan hubungan antara GoAnywhere MFT dan TA505grup peretasan yang dikenal menyebarkan ransomware Clop.
Clop diketahui menggunakan taktik serupa pada Desember 2020, ketika mereka mengeksploitasi kerentanan zero-day dalam sistem File Transfer Appliance (FTA) Accellion untuk mencuri data dari perusahaan di seluruh dunia.
Seperti MFT GoAnywhere, Accellion FTA memungkinkan organisasi berbagi file dengan pelanggan mereka secara aman.
Sebagai bagian dari serangan ini, geng ransomware Clop berusaha memeras korban dengan meminta tebusan $10 juta untuk mencegah data yang dicuri dipublikasikan.
Serangan Accellion FTA menyebabkan kerusakan yang meluas, dengan banyak organisasi mengungkapkan pelanggaran terkait, termasuk Morgan Stanley, Kualitas, Shell raksasa energi, raksasa supermarket Kroger. Beberapa universitas di seluruh dunia juga terpengaruh, termasuk Kedokteran Stanford, Universitas ColoradoUniversitas Miami, dan Universitas California.
Meskipun tidak diketahui apakah Clop menuntut uang tebusan serupa kepada para korban serangan MFT GoAnywhere, jika geng tersebut mengikuti taktik serupa, kami akan mulai melihat data yang dicuri muncul di situs kebocoran data mereka di masa mendatang.
