石油和天然氣巨頭殼牌證實遭到Clop勒索軟件攻擊

當(dāng)?shù)貢r間6月15日(周四)殼牌公司證實，Clop勒索軟件團伙將這家英國石油和天然氣跨國公司列在其勒索網(wǎng)站。據(jù)信該團伙利用MOVEit文件傳輸工具漏洞攻入了公司網(wǎng)絡(luò)，該公司受到了影響。這是殼牌公司第二次受到針對文件傳輸服務(wù)的Clop勒索團伙的攻擊。殼牌公司在全球擁有80,000多名員工，去年報告的收入超過3810億美元。殼牌發(fā)言人告訴Recorded Future News：“我們知道網(wǎng)絡(luò)安全事件影響了Progress的第三方工具M(jìn)OVEit Transfer，少數(shù)殼牌員工和客戶使用該工具。”他們強調(diào)“沒有證據(jù)表明殼牌的核心IT系統(tǒng)受到影響”，并表示他們的IT團隊繼續(xù)調(diào)查此事件。“我們沒有與黑客溝通，”發(fā)言人補充說。

另據(jù)CNN當(dāng)?shù)貢r間15日報道稱，美國多個聯(lián)邦機構(gòu)也被黑客利用MOVEi零日漏洞攻破。據(jù)聯(lián)邦新聞網(wǎng)報道，美國能源部 (DOE) 的兩個實體也遭到入侵 。

受害者名單還在增加

Clop對MOVEit的黑客攻擊在英國造成了許多受害者，包括BBC、英國航空公司和愛爾蘭航空公司、藥品零售商Boots，甚至是該國的通信監(jiān)管機構(gòu)Ofcom。

作為MOVEit工具的直接用戶，殼牌和Ofcom在有限的設(shè)置中似乎受到的影響較小。Ofcom表示，在這次攻擊中下載了“有限數(shù)量的信息”，盡管其中一些信息是機密的，并且與其監(jiān)管的公司有關(guān)，還有412名Ofcom員工的個人數(shù)據(jù)。

然而，BBC、英國航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影響，因為文件傳輸工具正被一家名為Zellis的第三方薪資服務(wù)供應(yīng)商使用。

在首都運營公共交通的倫敦交通局也確認(rèn)受到了該事件的影響。一位發(fā)言人告訴 Recorded Future News：“與英國的其他公司一樣，我們的一家承包商最近遭遇了數(shù)據(jù)泄露。該問題已得到解決，IT系統(tǒng)已得到保護。有問題的數(shù)據(jù)不包括銀行詳細(xì)信息，我們正在寫信給所有相關(guān)人員，讓他們了解這一事件。”

據(jù)《每日電訊報》報道，倫敦交通局?jǐn)?shù)據(jù)庫中多達(dá)13,000名司機已收到警告，他們的個人數(shù)據(jù)在該事件中被盜，這影響了運營該市交通擁堵和停車收費計劃的承包商。

BBC新聞報道稱，專業(yè)服務(wù)公司EY也受到了影響。目前尚不清楚EY是否是Zelli的客戶，或者他們是否直接使用MOVEit Transfer。兩個已確認(rèn)的Zellis用戶——BBC和英國航空公司——已警告他們的所有員工，他們的數(shù)據(jù)可能已被盜。

使用MOVEi 跨部門共享文件的新斯科舍省政府也證實受到了影響，并在一份聲明中表示，部分公民的個人信息可能已被泄露。然而，在其泄密網(wǎng)站上的一條消息中，Clop說，“如果你是政府、城市或警察部門……我們刪除了你的所有數(shù)據(jù)。”

雖然襲擊的全部范圍仍然未知，但新的受害者不斷挺身而出。

Clop周三(6月14日)列出了第一批據(jù)稱利用MOVEit漏洞入侵的組織。受害者名單發(fā)布在Clop的暗網(wǎng)泄密網(wǎng)站上，其中包括總部位于美國的金融服務(wù)機構(gòu)1st Source 和First National Bankers Bank;總部位于波士頓的投資管理公司Putnam Investments;位于荷蘭的Landal Greenparks;和總部位于英國的能源巨頭殼牌。據(jù)BleepingComputer報道，五家上市公司——英國跨國石油和天然氣公司殼牌、佐治亞大學(xué) (UGA) 和佐治亞大學(xué)系統(tǒng) (USG)、UnitedHealthcare Student Resources (UHSR)、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer證實他們在襲擊中受到影響。

有一個例外是GreenShield Canada公司，這家提供健康和牙科福利的非營利性福利承運商，曾被列在泄漏網(wǎng)站上，但已被刪除。

其他受害者還包括金融軟件提供商 Datasite;教育性非營利性國家學(xué)生信息交換所;學(xué)生健康保險提供商 United Healthcare Student Resources;美國制造商 Leggett & Platt;瑞士保險公司?KK等。

約翰霍普金斯大學(xué)本周證實了一起據(jù)信與MOVEit大規(guī)模黑客攻擊有關(guān)的網(wǎng)絡(luò)安全事件。該大學(xué)在一份聲明中表示，數(shù)據(jù)泄露“可能影響了敏感的個人和財務(wù)信息”，包括姓名、聯(lián)系信息和健康賬單記錄。

研究人員還報告說，Clop可能早在2021年就一直在利用MOVEit漏洞。美國風(fēng)險咨詢公司Kroll在一份報告中表示，雖然該漏洞在5月下旬才曝光，但其研究人員發(fā)現(xiàn)的活動表明Clop正在試驗將近兩年來利用此特定漏洞的方法。

Kroll研究人員說：“這一發(fā)現(xiàn)說明了大規(guī)模利用事件(例如MOVEit Transfer網(wǎng)絡(luò)攻擊)所涉及的復(fù)雜知識和計劃。”

Secureworks Counter Threat Unit威脅研究主管Chris Yule表示，網(wǎng)絡(luò)罪犯可能需要一些時間才能對付受害者。

“是否會有一個轉(zhuǎn)儲或滴灌還有待觀察，[但]GoAnywhere 受害者是在14天內(nèi)分批發(fā)布的，”Yule說。

“Clop發(fā)布的第一個名字包括許多美國金融服務(wù)公司。雖然上傳剛剛開始，但我們預(yù)計受害者的其余部分可能位于美國，因為互聯(lián)網(wǎng)上的大多數(shù)MOVEit服務(wù)器都位于美國。”

Picus Security的威脅研究員Hüseyin Can Yuceel表示，更慢地公布受害者的詳細(xì)信息可能會迫使其他人支付贖金，很明顯，Clop 的威脅并不是虛張聲勢。

被勒索了應(yīng)該怎么辦?

雖然到目前為止還沒有在任何受害系統(tǒng)上執(zhí)行勒索軟件儲物柜——這與Clop在這種情況下的作案手法一致——如何處理數(shù)據(jù)泄露和勒索事件的劇本與數(shù)據(jù)加密的情況大致相似發(fā)生在。

“預(yù)防始終是抵御勒索軟件攻擊的第一要務(wù)。[之后] 能做的不多，”Can Yuceel說。

“即使備份到位，勒索軟件組織也可以釋放受害者的敏感數(shù)據(jù)并損害他們的聲譽。執(zhí)法機構(gòu)建議企業(yè)不要支付贖金，因為勒索軟件組織可能不會在付款后提供解密密鑰。贖金支付還存在其他風(fēng)險。

“我們觀察到，已知支付贖金的組織將來更有可能成為相同或其他勒索軟件組織的目標(biāo)。贖金支付還可以使勒索軟件威脅永久化，并用于資助其他非法活動。”

網(wǎng)絡(luò)威脅研究專家Can Yuceel警告說，對于英國不斷增加的受害者名單——現(xiàn)在還包括Adare SEC，金融和保險行業(yè)的專業(yè)客戶通訊服務(wù)供應(yīng)商，其客戶包括Legal & General、AON和Allianz——應(yīng)該特別警惕參與或支付由于嚴(yán)格的金融法規(guī)涵蓋了向俄羅斯犯罪組織支付的贖金。

“金融制裁實施辦公室認(rèn)為支付贖金是違反金融制裁的行為，這是一種嚴(yán)重的刑事犯罪，可能會被判處監(jiān)禁和罰款，”他說。

“因此，英國的受害者應(yīng)向國家網(wǎng)絡(luò)安全中心報告此次攻擊，并在需要時請求支持管理網(wǎng)絡(luò)事件。”

倒霉的殼牌肯定不是最后一個

殼牌在2021年首次遭到Clop攻擊，當(dāng)時該團伙入侵了Accellion的文件傳輸設(shè)備，企圖通過威脅泄露被盜的敏感信息來勒索使用它的公司。

對Accellion的攻擊影響了全球100多個組織，包括美國的眾多大學(xué)和加拿大航空航天制造商龐巴迪。

今年早些時候，Clop利用影響Fortra的 GoAnywhere文件傳輸產(chǎn)品的漏洞，該組織稱該漏洞使其能夠從130多家公司、政府和組織竊取數(shù)據(jù)，再次用于勒索目的。

開發(fā)流行的MOVEit工具的軟件公司 Progress上周宣布了影響該軟件的第二個漏洞，此前有更多的漏洞公告是由于該程序的問題造成的。

要命的漏洞目前出現(xiàn)了后續(xù)。6月15日，Progress發(fā)布了最新的警告，疑是發(fā)現(xiàn)了新的SQL注入漏洞。BleepingComputer還被告知，在Huntress高級安全研究員John Hammond發(fā)現(xiàn)了新一個漏洞，已被披露給 Progress——該披露可能也促使該公司發(fā)出警告。

之前在9號發(fā)布公告披露了被統(tǒng)稱為CVE-2023-35036 的關(guān)鍵SQL注入漏洞。 5月31日啟動的安全審計后發(fā)現(xiàn)，當(dāng)時 Progress 發(fā)布了漏洞(CVE-2023-34362) 的補丁。這兩個編號漏洞均被用作Clop勒索軟件團伙在數(shù)據(jù)盜竊攻擊。CVE-2023-35036影響所有 MOVEit Transfer版本，并讓未經(jīng)身份驗證的攻擊者破壞未修補和暴露在Internet上的服務(wù)器以竊取客戶信息。Clop勒索軟件團伙此前明確聲稱對CVE-2023-34362漏洞攻擊負(fù)責(zé)。

若出現(xiàn)第三個漏洞，CLOP勒索還有更多淪陷者。試目以待。

來源：網(wǎng)空閑話plus