Μετά από ενδελεχή έρευνα, η ομάδα της Fortra ανακάλυψε ότι η συμμορία ransomware Clop είχε εκμεταλλευτεί το CVE-2023-0669, μια μη δημοσιευμένη ευπάθεια στo GoAnywhere MFT, κλέβοντας δεδομένα από περισσότερες από εκατό εταιρείες.
Δείτε επίσης: Crown Resorts: Παραβιάστηκε από το Clop ransomware μέσω GoAnywhere zero-day
Στις 3 Φεβρουαρίου 2023, η Fortra ενημέρωσε τους πελάτες της για τη σοβαρή ευπάθεια απομακρυσμένης εκτέλεσης κώδικα του GoAnywhere.
Στις 6 Φεβρουαρίου 2023 ένα κακόβουλο exploit έγινε διαθέσιμο στο κοινό, γεγονός που αύξησε τις πιθανότητες να το εκμεταλλευτούν άλλοι εγκληματίες του κυβερνοχώρου. Η Fortra εξέδωσε μια ενημερωμένη έκδοση ασφαλείας την επόμενη ημέρα για την αντιμετώπιση της ευπάθειας, τονίζοντας ότι όλοι οι πελάτες πρέπει να την εγκαταστήσουν για την προστασία τους.
Στις 10 Φεβρουαρίου 2023, η συμμορία ransomware Clop δήλωσε ότι εκμεταλλευόμενη την ευπάθεια στο GoAnywhere MFT είχε καταφέρει να κλέψει εμπιστευτικά δεδομένα από 130 οργανισμούς.
Μετά από ενάμιση ολόκληρο μήνα από την αρχική ανακοίνωση της ευπάθειας, η Fortra αποκάλυψε ένα λεπτομερές χρονοδιάγραμμα σχετικά με το τι συνέβη.
Στις 30 Ιανουαρίου 2023, η Fortra εντόπισε αμφίβολη δραστηριότητα σε ορισμένα GoAnywhere MFTaaS και απενεργοποίησε αμέσως την υπηρεσία cloud, ενώ διεξήγαγε περαιτέρω έρευνα.
Μετά από ενδελεχή έλεγχο, αποκαλύφθηκε ότι ένα άτομο χρησιμοποίησε κακόβουλα τη μη ανακαλυφθείσα ευπάθεια από τις 28 έως τις 30 Ιανουαρίου 2023 για να δημιουργήσουν λογαριασμούς χρηστών σε ορισμένα περιβάλλοντα πελατών.
Δείτε ακόμα: Rubrik: Δέχτηκε hacking επίθεση λόγω του GoAnywhere zero-day
Αφού απέκτησε πρόσβαση στους λογαριασμούς, ο εισβολέας προχώρησε στην εξαγωγή αρχείων από το περιβάλλον MFT. Η Fortra έθεσε ως ύψιστη προτεραιότητα τις συνομιλίες με τους πελάτες των οποίων τα δεδομένα εκτέθηκαν σε κίνδυνο από μια παραβίαση.
Επιπλέον, οι επιτιθέμενοι χρησιμοποίησαν τους νέους λογαριασμούς τους για να εγκαταστήσουν συμπληρωματικά εργαλεία σε ορισμένα περιβάλλοντα πελατών.
“Κατά τη διάρκεια της έρευνας, ανακαλύψαμε ότι το μη εξουσιοδοτημένο μέρος χρησιμοποίησε το CVE-2023-0669 για να εγκαταστήσει έως και δύο πρόσθετα εργαλεία – “Netcat” και “Errors.jsp” – σε ορισμένα περιβάλλοντα πελατών MFTaaS μεταξύ 28 Ιανουαρίου 2023 και 31 Ιανουαρίου 2023“, εξηγεί η Fortra.
Καθώς η Fortra εμβάθυνε περισσότερο στην έρευνά της, ανακάλυψε ότι η ίδια ευπάθεια είχε χρησιμοποιηθεί εναντίον πελατών που εκτελούσαν μια συγκεκριμένη διαμόρφωση του GoAnywhere MFT μέχρι τις 18 Ιανουαρίου 2023 – σηματοδοτώντας έτσι τις αρχικές ενδείξεις εκμετάλλευσης.
Η Fortra είναι αφοσιωμένη στην παροχή βοήθειας σε όλους τους πελάτες που επηρεάστηκαν από αυτές τις επιθέσεις, παρέχοντας βοήθεια και οδηγίες σχετικά με την προστασία των περιπτώσεων και την ασφαλή διαμόρφωση του GoAnywhere MFT.
Δείτε επίσης: Clop ransomware: Παραβίασε εταιρείες μέσω GoAnywhere MFT zero-day
Παρ’ όλα αυτά, η εταιρεία παρείχε ορισμένα προληπτικά μέτρα και προτάσεις στην πιο πρόσφατη ανακοίνωσή της, τα οποία οι πελάτες θα πρέπει να λάβουν, αν δεν το έχουν ήδη κάνει:
- Περιστρέψτε το Κύριο κλειδί κρυπτογράφησης.
- Επαναφέρετε όλα τα διαπιστευτήρια – κλειδιά και/ή κωδικούς πρόσβασης – συμπεριλαμβανομένων όλων των εξωτερικών εμπορικών εταίρων/συστημάτων.
- Ελέγξτε τα αρχεία καταγραφής ελέγχου και διαγράψτε τυχόν ύποπτους λογαριασμούς διαχειριστή ή/και χρηστών ιστού.
