Raksasa barang konsumen Procter & Gamble telah mengkonfirmasi pelanggaran data yang memengaruhi sejumlah karyawan yang dirahasiakan setelah platform berbagi file aman GoAnywhere MFT disusupi pada awal Februari.
Meskipun perusahaan tidak mengatakan siapa yang berada di balik pelanggaran keamanan, ini adalah bagian dari tuntutan pemerasan yang sedang berlangsung terkait dengan serangan geng ransomware Clop yang menargetkan server penyimpanan aman Fortra GoAnywhere di seluruh dunia.
Menurut Procter & Gamble, penyerang tidak mendapatkan akses ke informasi keuangan atau jaminan sosial karyawan, meskipun mereka berhasil mencuri beberapa data mereka.
“P&G dapat mengonfirmasi bahwa itu adalah salah satu dari banyak perusahaan yang terkena dampak insiden GoAnywhere Fortra. Sebagai bagian dari insiden ini, pihak ketiga yang tidak berwenang memperoleh beberapa informasi tentang karyawan P&G,” kata Procter & Gamble kepada BleepingComputer.
“Data yang diperoleh pihak yang tidak berwenang tidak mencakup informasi seperti nomor Jaminan Sosial atau nomor KTP, detail kartu kredit, atau informasi rekening bank.”
P&G mengatakan tidak memiliki bukti bahwa pelanggaran data ini memengaruhi data pelanggan dan berhenti menggunakan layanan berbagi file aman GoAnywhere Fortra setelah menemukan insiden tersebut.
“Ketika kami mengetahui insiden ini pada awal Februari, kami segera menyelidiki sifat dan ruang lingkup masalah tersebut, dinonaktifkan [the] penggunaan layanan vendor, dan memberi tahu karyawan,” tambah perusahaan.
“Saat ini, tidak ada indikasi bahwa data pelanggan terpengaruh oleh masalah ini. Operasi bisnis kami berjalan seperti biasa.”
Clop mengklaim mencuri file dari lebih dari 130 organisasi
Geng ransomware Clop sebelumnya memberi tahu Bleeping Computer bahwa mereka mengeksploitasi CVE-2023-0669 Kerentanan GoAnywhere sebagai zero-day untuk menembus dan mencuri data dari server penyimpanan aman lebih dari 130 organisasi.
Mereka diduga mencuri data selama sepuluh hari setelah melanggar server yang terpapar Internet yang rentan terhadap eksploitasi yang menargetkan bug ini.
Pelaku ancaman juga mengklaim bahwa mereka hanya mencuri dokumen yang disimpan di platform berbagi file korban yang disusupi, meskipun mereka juga dapat dengan mudah dipindahkan secara lateral melalui jaringan mereka untuk menyebarkan muatan ransomware.
Clop mulai secara terbuka memeras korban serangan GoAnywhere pada 10 Maret ketika menambahkan tujuh perusahaan ke situs kebocoran datanya.
Sejauh ini, daftar korban yang mengakui pelanggaran GoAnywhere dan bahwa Clop memeras mereka juga termasuk raksasa perawatan kesehatan. Sistem Kesehatan Masyarakat (CHS)platform tekfin Bank Penetasanperusahaan keamanan siber Rubrik, Energi Hitachipengecer merek mewah Saks Fifth Avenuedan Kota Toronto, Kanada.
Dalam catatan tebusan yang dikirim ke para korban dan dilihat oleh BleepingComputer, geng ransomware memperkenalkan diri mereka sebagai “kelompok peretas Clop”, memperingatkan para korban bahwa mereka telah mencuri dokumen sensitif, yang akan dipublikasikan secara online di situs kebocoran Clop dan dijual di pasar gelap. jika korban tidak mau bernegosiasi.
“Kami ingin memberi tahu Anda bahwa kami telah mencuri informasi penting dari sumber daya MFT GoAnywhere Anda dan telah melampirkan daftar lengkap file sebagai bukti,” bunyi catatan tebusan.
“Kami sengaja tidak mengungkapkan organisasi Anda dan ingin bernegosiasi dengan Anda dan pimpinan Anda terlebih dahulu. Jika Anda mengabaikan kami, kami akan menjual informasi Anda di pasar gelap dan menerbitkannya di blog kami, yang menerima 30-50 ribu pengunjung unik per hari .”
Juga di belakang pelanggaran Accellion 2020
Dugaan geng ransomware menggunakan GoAnywhere MFT zero-day untuk mencuri file sensitif dari server berbagi aman korban sangat mirip dengan menggunakan kerentanan zero-day Accellion FTA untuk mencuri data sekitar 100 perusahaan pada Desember 2020.
Dalam serangan Accellion, Clop mencuri sejumlah besar data dan menuntut uang tebusan $10 juta dari perusahaan terkenal seperti Shell raksasa energi, perusahaan keamanan siber Qualys, raksasa supermarket Krogerdan universitas di seluruh dunia (misalnya, Kedokteran Stanford, Universitas Coloradodan Universitas California).
Geng Clop juga dikaitkan dengan serangan ransomware setidaknya sejak 2019mengenkripsi dan mencuri file dari server dari serangkaian panjang korban, termasuk Perangkat Lunak AG IT, Universitas Maastricht, ExecuPharmDan Banteng India.
