Geng ransomware Clop telah memberi tahu BleepingComputer bahwa mereka berada di balik serangan pencurian data MOVEit Transfer, di mana kerentanan zero-day dieksploitasi untuk menembus server beberapa perusahaan dan mencuri data.
Ini menegaskan Minggu malam Microsoft atribusi ke grup peretasan mereka melacak sebagai ‘Lace Tempast,’ juga dikenal sebagai TA505 dan FIN11.
Perwakilan Clop selanjutnya mengkonfirmasi bahwa mereka mulai mengeksploitasi kerentanan pada 27 Mei, selama liburan panjang Hari Peringatan AS, seperti yang diungkapkan sebelumnya oleh Mandiant.
Melakukan serangan di sekitar hari libur adalah taktik umum untuk operasi ransomware Clop, yang sebelumnya telah melakukan serangan eksploitasi skala besar selama liburan saat jumlah staf minimum.
Misalnya, mereka mengeksploitasi kerentanan zero-day Accellion FTA serupa pada 23 Desember 2020, untuk mencuri data tepat di awal liburan Natal.
Sementara Clop tidak akan membagikan jumlah organisasi yang dilanggar dalam serangan MOVEit Transfer, mereka mengatakan bahwa korban akan ditampilkan di situs kebocoran data mereka jika uang tebusan tidak dibayarkan.
Selain itu, geng ransomware menegaskan bahwa mereka belum mulai memeras korban, kemungkinan menggunakan waktu untuk meninjau data dan menentukan apa yang berharga dan bagaimana data tersebut dapat digunakan untuk meningkatkan permintaan uang tebusan dari perusahaan yang dilanggar.
Di geng serangan MFT GoAnywhere baru-baru iniClop menunggu lebih dari sebulan untuk mengirim permintaan tebusan melalui email ke organisasi.
Akhirnya, dan tanpa diminta, geng ransomware memberi tahu BleepingComputer bahwa mereka telah menghapus data apa pun yang dicuri dari pemerintah, militer, dan rumah sakit anak-anak selama serangan ini.
“Saya ingin segera memberi tahu Anda bahwa militer, rumah sakit anak-anak, GOV dll seperti ini kami tidak boleh menyerang, dan data mereka dihapus,” kata Clop dalam email mereka ke BleepingComputer.
BleepingComputer tidak memiliki cara untuk mengonfirmasi apakah klaim ini akurat, dan seperti serangan pencurian data lainnya, semua organisasi yang terkena dampak harus memperlakukannya seolah-olah data berisiko disalahgunakan.
Sementara Clop dimulai sebagai operasi ransomware, grup tersebut sebelumnya memberi tahu BleepingComputer bahwa mereka menjauh dari enkripsi dan lebih memilih pemerasan pencurian data.
Korban pertama maju
Kami juga melihat pengungkapan pertama kami dari organisasi yang dilanggar dalam serangan pencurian data MOVEit Clop.
Penyedia solusi penggajian dan SDM Inggris, Zellis, mengonfirmasi bahwa mereka mengalami pelanggaran data karena serangan ini, yang juga berdampak pada beberapa pelanggannya.
“Sejumlah besar perusahaan di seluruh dunia telah terpengaruh oleh kerentanan zero-day dalam produk Transfer MOVEit Progress Software,” kata Zellis kepada BleepingComputer dalam sebuah pernyataan.
“Kami dapat mengonfirmasi bahwa sejumlah kecil pelanggan kami telah terpengaruh oleh masalah global ini dan kami bekerja secara aktif untuk mendukung mereka. Semua perangkat lunak yang dimiliki Zellis tidak terpengaruh dan tidak ada insiden terkait atau gangguan pada bagian lain dari kawasan TI kami .”
“Begitu kami mengetahui insiden ini, kami mengambil tindakan segera, memutus server yang menggunakan perangkat lunak MOVEit dan melibatkan tim respons insiden keamanan eksternal ahli untuk membantu analisis forensik dan pemantauan berkelanjutan. Kami juga telah memberi tahu ICO, DPC, dan NCSC di Inggris dan Irlandia.”
Aer Lingus mengonfirmasi kepada BleepingComputer bahwa mereka mengalami pelanggaran melalui kompromi Zellis MOVEit.
“Namun, telah dikonfirmasi bahwa tidak ada detail keuangan atau bank terkait dengan karyawan Aer Lingus saat ini atau mantan karyawan yang dikompromikan dalam insiden ini,” bunyi pernyataan dari Aer Lingus.
“Juga telah dikonfirmasi bahwa tidak ada detail kontak telepon yang berkaitan dengan karyawan Aer Lingus saat ini atau mantan karyawan yang dikompromikan.”
Sebagai dilaporkan oleh The RecordBritish Airways juga telah mengonfirmasi bahwa pelanggaran Zellis berdampak pada mereka.
Sayangnya, seperti yang telah kita lihat dengan serangan Clop sebelumnya pada platform transfer file terkelola, kita mungkin akan melihat aliran panjang pengungkapan perusahaan seiring berjalannya waktu.
