MOVEit-bruddet er et af 2023's største ransomware-angreb og har påvirket millioner af mennesker verden over.
Nøgle takeaways
- MOVEit-bruddet, udført af Clop ransomware-gruppen, er et af de største hacks i 2023, der påvirker 2.659 organisationer og 67 millioner mennesker.
- Bruddet udnyttede nul-dages sårbarheder i MOVEit-applikationen, hvilket gav angribere adgang til følsomme data lagret af organisationer, der bruger softwaren.
- Uddannelsessektoren var stærkt berørt af bruddet, med universiteter som John Hopkins og Webster University blandt dem, der blev ramt. Andre berørte sektorer omfatter sundhed, finans og forretning.
Er du en af 62 millioner mennesker, der er berørt af MOVEit-bruddet? MOVEit-bruddet er et af de største hacks i 2023, hvor Clop ransomware-gruppen løskøber tusindvis af organisationer og tjente med titusindvis af millioner af dollars.
Så hvad er MOVEit ransomware-angrebet, og hvordan har det påvirket så mange mennesker?
Hvad er MOVEit?
MOVEit er en sikker filoverførselssoftware og -tjeneste udviklet af Progress Software, designet til at lette sikker overførsel af følsomme data mellem organisationer og enkeltpersoner. MOVEit bruges af virksomheder, statslige organisationer, universiteter og stort set enhver enhed, der gemmer og administrerer sine data, så virksomheder kan overføre filer og data sikkert for at beskytte dem fra
uautoriseret adgang eller brud.Men i maj 2023 holdt dette op med at være tilfældet, da Clop ransomware-gruppen hackede tusindvis af organisationers data, der brugte MOVEIt til deres data.
Hvordan skete MOVEit-bruddet?
I maj 2023 udnyttede den berygtede Clop ransomware-gruppe flere nul-dages sårbarheder i MOVEIt-applikationen.
En nul-dages sårbarhed er en softwaresikkerhedsfejl, der er ukendt for leverandøren eller offentligheden, og som udnyttes af angribere, før en rettelse eller patch er tilgængelig. Zero-day sårbarheder er særligt farlige, fordi de kan snigende udnyttes uden leverandørens viden i meget lang tid.
Progress Software fiksede til sidst disse sårbarheder, men det var allerede for sent. I den periode, hvor sårbarheden var ukendt for offentligheden og leverandører, fik angribere adgang til og brød dataene fra tusindvis af organisationer, der brugte MOVEit til at administrere og overføre deres data.
Clop ransomware-gruppen opdagede flere SQL-indsprøjtningssårbarheder i MOVEit-applikationen, hvilket gjorde det muligt for dem at få adgang til databasen over organisationer og downloade og se data. SQL-injektion er en sårbarhed hvor ondsindet SQL-kode indsættes i inputfelter, der udnytter sårbarheder i en databasestøttet applikation. Den uautoriserede kode kan manipulere databasen, potentielt blotlægge eller ændre følsomme oplysninger.
SQL-injektionssårbarhederne er registreret som CVE-2023-34362, CVE-2023-35036 og CVE-2023-35708 og blev rettet henholdsvis 31. maj 2023, 9. juni 2023 og 15. juni 2023. Alle versioner af MOVEit-overførselsapplikationen var sårbare over for disse sårbarheder. Når det udnyttes, tillader det en uautoriseret angriber at få adgang til indholdet af organisationens MOVEIt-overførselsdatabase. Dette betyder, at angriberen kan downloade, ændre eller endda slette databaser uden nogen begrænsninger.
Virkningen af MOVEit-bruddet
Ifølge Emisofts analyse og statistikker vedrørende MOVEit-databruddet, fra den 9. november 2023 er 2.659 organisationer blevet påvirket af MOVEit-bruddet, og over 67 millioner mennesker er blevet ramt af organisationer hovedsageligt baseret i USA og Canada, Tyskland og Storbritannien.
Uddannelse er den mest berørte sektor, hvor data fra adskillige universiteter bliver suget af disse angribere. Uddannelsesorganisationer, der er berørt af dette brud, omfatter New York Citys offentlige skolesystem, John Hopkins University, University of Alaska og Webster University, blandt andre populære universiteter. Andre sektorer, der er stærkt påvirket af dette brud, omfatter sundhedssektoren, banker, finansielle institutioner og virksomheder.
Nogle af de bedre kendte organisationer, der er berørt af MOVEit-ransomwaren, omfatter BBC, Shell, Siemens Energy, Ernst & Young og British Airways.
Den 25. september 202, førende prænatal-, nyfødt- og børneregistertjeneste,FØDT Ontario, udgav en erklæring om MOVEit-bruddet, der afslører, at de var påvirket af MOVEit-bruddet. Ifølge deres rapport tillod MOVEit-sårbarheden uautoriserede ondsindede tredjepartsaktører at få adgang til og kopiere filer af personlige helbredsoplysninger indeholdt i BORN Ontario-registre, som var blevet overført ved hjælp af den sikre filoverførselssoftware.
Som svar isolerede Born Ontario straks systemet, dekommissionerede den berørte server og lancerede en undersøgelse, samarbejde med cybersikkerhedseksperter for at fastslå alvoren og hvilke specifikke data der var stjålet.
Mange af disse organisationer blev hacket, ikke fordi de brugte MOVEit-applikationen, men fordi de patroniserede tredjepartsleverandører, der gjorde brug af MOVEit-overførselsapplikationen, hvilket førte til, at de fik også overtrådt. Det er en lignende situation for andre organisationer, der koster milliarder af dollars i ransomware-betalinger og andre sikkerhedsrettelser.
Du er blevet berørt af MOVEit-bruddet. Hvad er det næste?
Hvis du stadig bruger MOVEit, så patch det med det samme til den nyeste version for at forhindre, at dine filer og data bliver stjålet af disse hackere. Internettet og softwaren, der bruger det, er desværre udsat for hacks og ransomware, og du skal holde dig selv og dine aktiver sikres ved at ændre adgangskoder regelmæssigt, bruge antivirussoftware og aktivere multi-faktor Godkendelse.
Alligevel, som MOVEit-bruddet viser, kan du gøre alt dette, og et team af hackere vil finde en udnyttelse, der aldrig er set før.
