MOVEit-bruddet er et av 2023s største ransomware-angrep og har påvirket millioner av mennesker over hele verden.
Viktige takeaways
- MOVEit-bruddet, utført av Clop-ransomware-gruppen, er et av de største hackene i 2023, og påvirker 2659 organisasjoner og 67 millioner mennesker.
- Bruddet utnyttet nulldagssårbarheter i MOVEit-applikasjonen, og ga angripere tilgang til sensitive data lagret av organisasjoner som bruker programvaren.
- Utdanningssektoren ble sterkt berørt av bruddet, med universiteter som John Hopkins og Webster University blant de målrettede. Andre berørte sektorer inkluderer helse, finans og næringsliv.
Er du en av 62 millioner mennesker som er berørt av MOVEit-bruddet? MOVEit-bruddet er et av de største hackene i 2023, med Clop løsepengevaregruppen som løser ut tusenvis av organisasjoner og tjente unna med titalls millioner dollar.
Så, hva er MOVEit-ransomware-angrepet, og hvordan har det påvirket så mange mennesker?
Hva er MOVEit?
MOVEit er en sikker filoverføringsprogramvare og -tjeneste utviklet av Progress Software, designet for å lette sikker overføring av sensitive data mellom organisasjoner og enkeltpersoner. MOVEit brukes av bedrifter, offentlige organisasjoner, universiteter og i utgangspunktet enhver enhet som lagrer og administrerer dataene sine, slik at selskaper kan overføre filer og data sikkert for å beskytte dem fra
uautorisert tilgang eller brudd.I mai 2023 sluttet dette imidlertid å være tilfelle da Clop-ransomware-gruppen hacket tusenvis av organisasjoners data som brukte MOVEIt for sine data.
Hvordan skjedde MOVEit-bruddet?
I mai 2023 utnyttet den beryktede Clop løsepengevaregruppen flere nulldagssårbarheter i MOVEIt-applikasjonen.
En null-dagers sårbarhet er en programvaresikkerhetsfeil ukjent for leverandøren eller offentligheten og utnyttet av angripere før en rettelse eller oppdatering er tilgjengelig. Nulldagssårbarheter er spesielt farlige fordi de kan bli snikende utnyttet uten leverandørens viten i svært lang tid.
Progress Software lappet til slutt disse sårbarhetene, men det var allerede for sent. I perioden hvor sårbarheten var ukjent for publikum og leverandører, fikk angripere tilgang til og brøt dataene til tusenvis av organisasjoner som brukte MOVEit for å administrere og overføre dataene deres.
Clop løsepengevaregruppen oppdaget flere SQL-injeksjonssårbarheter i MOVEit-applikasjonen, slik at de kunne få tilgang til databasen med organisasjoner og laste ned og se data. SQL-injeksjon er en sårbarhet der ondsinnet SQL-kode settes inn i inndatafelt, og utnytter sårbarheter i en databasestøttet applikasjon. Den uautoriserte koden kan manipulere databasen, potensielt avsløre eller endre sensitiv informasjon.
SQL-injeksjonssårbarhetene er registrert som CVE-2023-34362, CVE-2023-35036 og CVE-2023-35708, og ble rettet henholdsvis 31. mai 2023, 9. juni 2023 og 15. juni 2023. Alle versjoner av MOVEit-overføringsapplikasjonen var sårbare for disse sårbarhetene. Når den utnyttes, lar den en uautentisert angriper få tilgang til innholdet i organisasjonens MOVEIt-overføringsdatabase. Dette betyr at angriperen kan laste ned, endre eller til og med slette databaser uten noen begrensninger.
Virkningen av MOVEit-bruddet
Ifølge Emisofts analyse og statistikk angående MOVEit-databruddet, fra 9. november 2023 har 2659 organisasjoner blitt påvirket av MOVEit-bruddet, og over 67 millioner mennesker har blitt berørt av organisasjoner hovedsakelig basert i USA og Canada, Tyskland og Storbritannia.
Utdanning er den mest berørte sektoren, med data fra en rekke universiteter som blir sugd av disse angriperne. Utdanningsorganisasjoner som er berørt av dette bruddet inkluderer New York Citys offentlige skolesystem, John Hopkins University, University of Alaska og Webster University, blant andre populære universiteter. Andre sektorer som er sterkt påvirket av dette bruddet inkluderer helsesektoren, banker, finansinstitusjoner og bedrifter.
Noen av de mer kjente organisasjonene som er berørt av MOVEit-ransomware inkluderer BBC, Shell, Siemens Energy, Ernst & Young og British Airways.
Den 25. september 202, ledende prenatal-, nyfødt- og barneregistertjeneste,FØDT Ontario, ga ut en uttalelse om MOVEit-bruddet som avslører at de var berørt av MOVEit-bruddet. I følge rapporten deres tillot MOVEit-sårbarheten uautoriserte ondsinnede tredjepartsaktører å få tilgang til og kopiere filer av personlig helseinformasjon i BORN Ontario-registrene, som ble overført ved hjelp av den sikre filoverføringsprogramvaren.
Som svar isolerte Born Ontario umiddelbart systemet, dekommisjonerte den berørte serveren og lanserte en etterforskning, samarbeid med cybersikkerhetseksperter for å fastslå alvorlighetsgraden og hvilke spesifikke data som var stjålet.
Mange av disse organisasjonene ble hacket ikke fordi de brukte MOVEit-applikasjonen, men fordi de patroniserte tredjepartsleverandører som benyttet seg av MOVEit-overføringsapplikasjonen, noe som førte til at de fikk også brutt. Det er en lignende situasjon for andre organisasjoner, og koster milliarder av dollar i løsepengevarebetalinger og andre sikkerhetsrettinger.
Du har blitt berørt av MOVEit-bruddet. Hva nå?
Hvis du fortsatt bruker MOVEit, lapp det umiddelbart til den nyeste versjonen for å forhindre at filene og dataene dine blir stjålet av disse hackerne. Internett og programvaren som bruker det er dessverre utsatt for hacks og løsepenge, og du må holde deg selv og eiendelene dine sikres ved å endre passord regelmessig, bruke antivirusprogramvare og aktivere multifaktor autentisering.
Likevel, som MOVEit-bruddet viser, kan du gjøre alt dette, og et team av hackere vil finne en utnyttelse som aldri er sett før.
