Geng ransomware Clop telah mencari cara untuk mengeksploitasi zero-day yang sekarang ditambal dalam solusi transfer file terkelola (MFT) MOVEit Transfer sejak 2021, menurut pakar keamanan Kroll.
Saat menganalisis log pada beberapa jaringan klien yang disusupi selama penyelidikan serangan pencurian data Clop baru-baru ini menargetkan instans Transfer MOVEit yang rentan, mereka menemukan aktivitas berbahaya yang cocok dengan metode yang digunakan oleh geng untuk menyebarkan yang baru ditemukan LemurLoot cangkang web.
“Aktivitas selama periode 27-28 Mei tampaknya merupakan rantai serangan eksploitasi otomatis yang pada akhirnya menghasilkan penyebaran web shell human2.aspx. Eksploitasi tersebut berpusat pada interaksi antara dua komponen sah Transfer MOVEit: moveitisapi/moveitisapi.dll dan guestaccess.aspx, “Kroll dikatakan.
“Peninjauan Kroll terhadap log Microsoft Internet Information Services (IIS) dari klien yang terkena dampak menemukan bukti aktivitas serupa terjadi di beberapa lingkungan klien tahun lalu (April 2022) dan dalam beberapa kasus paling cepat Juli 2021.”
Mereka juga menemukan pelaku ancaman sedang menguji cara untuk mengumpulkan dan mengekstrak data sensitif dari server Transfer MOVEit yang disusupi sejauh April 2022, kemungkinan besar dengan bantuan alat otomatis.
“Kroll mengamati aktivitas yang konsisten dengan eksploitasi MOVEit Transfer yang secara kolektif terjadi pada 27 April 2022; 15-16 Mei 2023; dan 22 Mei 2023, yang menunjukkan bahwa para pelaku sedang menguji akses ke organisasi melalui kemungkinan sarana otomatis dan menarik kembali informasi dari MOVEit Transfer server untuk mengidentifikasi organisasi mana yang mereka akses,” ungkap laporan tersebut.
Aktivitas jahat otomatis meningkat dalam skala yang jauh lebih besar mulai 15 Mei 2023, tepat sebelum eksploitasi massal bug zero-day dimulai pada 27 Mei.
Ini juga cocok dengan perintah serupa yang dikeluarkan secara manual terhadap server Transfer MOVEit pada Juli 2021, yang menunjukkan bahwa geng ransomware menunggu hingga memiliki alat untuk meluncurkan serangan terakhir pada akhir Mei 2023.
Server “ratusan perusahaan” diduga dilanggar
Selama akhir pekan, geng ransomware Clop memberi tahu Bleepingomputer bahwa mereka benar di balik serangan pencurian data baru-baru ini yang memungkinkan mereka untuk menembus server Transfer MOVEit yang diduga milik “ratusan perusahaan”.
Sementara kata-kata pelaku ancaman tidak dapat diterima begitu saja, pernyataan Clop mengonfirmasi laporan Microsoft yang menghubungkan serangan tersebut dengan grup peretasan yang mereka lacak sebagai Lace Tempest (juga dikenal sebagai TA505 dan FIN11).
“Microsoft mengaitkan serangan yang mengeksploitasi kerentanan CVE-2023-34362 MOVEit Transfer 0-hari ke Lace Tempest, yang dikenal dengan operasi ransomware & menjalankan situs pemerasan Clop,” tim Intelijen Ancaman Microsoft tweeted Malam minggu.
“Aktor ancaman telah menggunakan kerentanan serupa di masa lalu untuk mencuri data & memeras korban.”
Grup kejahatan dunia maya Clop juga berada di belakang kampanye pencurian data berdampak tinggi lainnya yang menargetkan platform transfer file terkelola lainnya, termasuk zero-day eksploitasi server Accellion FTA pada Desember 2020, 2021 Serangan Transfer File Terkelola SolarWinds Serv-Ueksploitasi massal zero-day MFT GoAnywhere pada Januari 2023.
Sejak serangan pencurian data MOVEit Clop terdeteksi, organisasi pertama yang dilanggar sebagai akibatnya juga perlahan mulai muncul, dengan penyedia solusi penggajian dan SDM Inggris Zellis melaporkan bahwa mereka mengalami pelanggaran data yang kemungkinan juga akan berdampak pada beberapa pelanggannya.
Pelanggan Zellis yang telah mengonfirmasi bahwa mereka terkena dampak termasuk maskapai penerbangan Irlandia Aer Lingus dan maskapai Inggris British Airways.
Clop telah mengancam semua organisasi yang terkena dampak untuk menjangkau dan menegosiasikan uang tebusan jika mereka tidak ingin data mereka bocor secara online dalam enam hari, pada 14 Juni.
