Une vulnérabilité dans un service de transfert de fichiers couramment utilisé appelé GoAnywhere a permis au groupe de rançongiciels Clop de violer environ 130 organisations. Des semaines plus tard, des détails continuent d'émerger sur l'attaque tentaculaire.
Jusqu'à présent, ces détails ne provenaient pas de Fortra, la société mère de GoAnywhere. C'est l'organisation de victimes qui a fait la une des journaux avec des divulgations de violations de données publiques. Les clients de GoAnywhere qui ont révélé avoir été piratés via la vulnérabilité d'exécution de code à distance GoAnywhere MFT, suivie sous CVE-2023-0669, incluent jusqu'à présent Systèmes de santé communautaire, Banque de trappe, société de cybersécurité Rubrique, Hitachi Énergie, et la ville de Toronto, qui, une fois additionnés, représentent l'exposition des données privées de millions de personnes aux pires éléments cybercriminels.
Les cybercriminels Clop étaient impatients de fournir des détails sur leur campagne, affirmant sur leur site de fuite qu'ils avaient utilisé l'exploit pendant 10 jours pour violer plus de 130 entreprises, According To rapports.
Pour sa part, Forta est restée publiquement silencieuse sur le flux constant de divulgations. Mais aujourd'hui, il a fait à Dark Reading une déclaration rassurant qu'il s'engage à aider ses clients à naviguer dans ce qui évolue vers une crise des communications et de la cybersécurité pour l'entreprise.
"Le 30 janvier 2023, nous avons été informés d'activités suspectes dans certaines instances de notre solution GoAnywhere MFTaaS", déclare Fortra dans un communiqué publié à Dark Reading. "Nous avons immédiatement pris plusieurs mesures pour résoudre ce problème, notamment la mise en œuvre d'une interruption temporaire de ce service pour empêcher toute autre activité non autorisée, et le partage de conseils d'atténuation, qui incluent des instructions à nos clients sur site concernant l'application d'un correctif développé."
Fortra a ajouté qu'elle restait déterminée à soutenir ses utilisateurs concernés.
"Nous travaillons avec diligence pour informer les clients qui pourraient avoir été touchés et nous nous sommes coordonnés avec CISA pour ajouter des informations sur cette vulnérabilité à leur catalogue CVE afin d'élargir la portée des informations sur ce problème", ajoute le communiqué du porte-parole de Fortra. "Nous prenons cela très au sérieux et continuons d'aider nos clients à mettre en œuvre des mesures d'atténuation pour résoudre ce problème."
Les communications de Fortra sous le feu
Premiers rapports de la GoAnywhere zéro jour ont été partagés le 2 février par le site d'information sur la cybersécurité KrebsOnSecurity, qui, après avoir trouvé l'avis caché derrière une page de connexion, a simplement collé les informations pour que le public puisse les voir. Quelques jours plus tard un le correctif a été publié par Fortra. Pariant sur le retard des correctifs, dans les jours qui ont suivi, les acteurs de la menace du rançongiciel Clop ont pu en profiter. Le 10 février, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté le bogue à sa liste de catalogue des vulnérabilités exploitées connues.
Néanmoins, les entreprises ont continué à se faire prendre dans la campagne en cours. Et malgré les assurances de Fortra, les analystes, experts et observateurs de la cybersécurité critiquent largement le manque de communication et la lenteur de la réponse de l'entreprise à offrir des conseils aux victimes et aux cibles. La surface d'attaque est également large, il convient de le noter : selon son site Web, GoAnywhere est utilisé dans plus de 3,000 XNUMX organisations pour gérer des documents de toutes sortes. Et selon données d'Enlyft, la plupart d'entre elles sont de grandes organisations - comptant au moins 1,000 10,000 et souvent plus de XNUMX XNUMX employés - principalement basées aux États-Unis.
"Celui-ci n'a pas été bien communiqué, mettant au défi même les meilleures équipes de sécurité de réagir », Heath Renfrow, co-fondateur de Fenix24, raconte Dark Reading en réponse à la déclaration fraîchement publiée de Fortra. "C'est un bon exemple de la nécessité pour les professionnels de la sécurité de disposer de plusieurs sources de renseignements sur les menaces - au-delà de leurs seuls fournisseurs - pour couvrir toutes les bases. Cela dit, cela a été communiqué maintenant et toute personne utilisant la solution doit corriger immédiatement.
Une communication lente peut être particulièrement préjudiciable dans un scénario d'attaque de la chaîne d'approvisionnement logicielle, a déclaré Dirk Schrader, vice-président de la recherche sur la sécurité chez Netwrix.
"Pour empêcher une évolution ultérieure d'une attaque de la chaîne d'approvisionnement, il est crucial que la première victime en ligne communique ouvertement et en détail sur ce qui s'est passé", a-t-il noté par e-mail. « Cela aide les autres maillons de cette chaîne à se préparer à une menace à venir et minimise les dommages éventuels. Il est probable que l'attaque actuelle ait été accélérée en raison du fait que les détails de ce jour zéro n'ont pas été divulgués en temps opportun.
Dark Reading a demandé à Fortra une réponse à la critique de sa gestion de l'incident de cybersécurité mais n'a pas reçu de réponse. Pendant ce temps, le client de Forta, la ville de Toronto, interrogé sur ses communications avec Fortra concernant la violation, a donné une réponse simple par e-mail : "Fortra a communiqué avec la ville et continue de le faire."
Ce n'est pas la première fois que les utilisateurs du rançongiciel Clop réussissent une brèche massive comme celle-ci. FIN11 basé en Russie utilisé Rançongiciel Clop en décembre 2020 pour sauter sur une faille zero-day similaire d'Accellion.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/attacks-breaches/clop-keeps-racking-up-ransomware-victims-with-goanywhere-flaw-
