Το Υπουργείο Παιδείας της Νέας Υόρκης (NYC DOE) αναφέρει ότι χάκερ κατάφεραν να διεισδύσουν στον διακομιστή MOVEit Transfer και να κλέψουν έγγραφα που περιείχαν ευαίσθητες προσωπικές πληροφορίες περίπου 45.000 μαθητών.
Δείτε επίσης: Η παραβίαση του MOVEIt επηρεάζει τις εταιρείες GenWorth και CalPERS
Το NYC DOE χρησιμοποίησε λογισμικό διαχείρισης μεταφοράς αρχείων (MFT) για την ασφαλή μεταφορά δεδομένων και εγγράφων μέσα και έξω από την οργάνωση σε διάφορους προμηθευτές, συμπεριλαμβανομένων των παρόχων υπηρεσιών ειδικής εκπαίδευσης.
Το NYC DOE επιδιόρθωσε τους διακομιστές, μετά από την ανακάλυψη μιας ευπάθειας (CVE-2023-34362) που χρησιμοποιήθηκε για επίθεση. Ωστόσο, οι εισβολείς εκμεταλλεύτηκαν ήδη το σφάλμα για να διεξάγουν μαζικές επιθέσεις μια ημέρα πριν από τη δημοσίευση των αναβαθμίσεων ασφαλείας.
Ο διακομιστής που επηρεάζεται έχει αποσυνδεθεί από το δίκτυο μετά την εντοπισμό της παραβίασης και το NYC DOE συνεργάζεται με το NYC Cyber Command για την αντιμετώπιση του προβλήματος.
“Διεξάγαμε επίσης εσωτερική έρευνα, η οποία αποκάλυψε ότι επηρεάστηκαν ορισμένα αρχεία DOE. Η εξέταση των επηρεαζόμενων αρχείων βρίσκεται σε εξέλιξη, αλλά τα προκαταρκτικά αποτελέσματα δείχνουν ότι περίπου 45.000 φοιτητές, εκτός από το προσωπικό του DOE και τους σχετικούς παρόχους υπηρεσιών, επηρεάστηκαν,” δήλωσε το Σαββατοκύριακο η Emma Vadehra, COO στο NYC DOE.
Δείτε ακόμα: Όρεγκον και Λουιζιάνα: Εκατομμύρια ταυτότητες κλάπηκαν σε MOVEit παραβίαση
“Έγινε πρόσβαση σε περίπου 19.000 έγγραφα χωρίς εξουσιοδότηση. Οι τύποι δεδομένων που επηρεάστηκαν περιλαμβάνουν Αριθμούς Κοινωνικής Ασφάλισης και αριθμούς ταυτότητας υπαλλήλων (όχι απαραίτητα για όλα τα επηρεαζόμενα άτομα. Για παράδειγμα, συμπεριλήφθηκαν περίπου 9.000 Αριθμοί Κοινωνικής Ασφάλισης).”
«Το FBI διερευνά την ευρύτερη παραβίαση που έχει επηρεάσει εκατοντάδες οντότητες· αυτή τη στιγμή συνεργαζόμαστε τόσο με το NYPD όσο και με το FBI καθώς διερευνούν».
Η συμμορία ransomware Clop ανέλαβε την ευθύνη για τις επιθέσεις που συνέβησαν στις 5 Ιουνίου στο MOVEit Transfer. Στην ίδια δήλωση αναφέρονται ότι επιτέθηκαν σε εκατοντάδες εταιρείες μέσω των διακομιστών MOVEit.
Ο Kroll παρείχε πληροφορίες ότι η Clop εξέταζε ενεργά exploits για το zero-day του MOVEit, το οποίο επιδιορθώθηκε πρόσφατα και ήταν σε εξέλιξη έρευνα σχετικά με το πώς μπορούν να αντληθούν δεδομένα από παραβιασμένους διακομιστές, τουλάχιστον από τον Απρίλιο του 2022.
Η συμμετοχή του Clop σε αυτήν την έκτακτη επίθεση κλοπής δεδομένων αποτελεί μέρος ενός ευρύτερου σχεδίου για επίθεση σε πλατφόρμες MFT.
Δείτε επίσης: Οι πελάτες του MOVEit Transfer προειδοποιήθηκαν για νέο ελάττωμα
Παραδείγματα προηγούμενων περιστατικών είναι η παραβίαση των διακομιστών Accellion FTA το Δεκέμβριο του 2020, η παραβίαση των διακομιστών SolarWinds Serv-U το 2021 και η εξαπλή εκμετάλλευση των διακομιστών GoAnywhere MFT νωρίτερα φέτος τον Ιανουάριο.
