MOVEit güvenlik açıkları şimdiye kadar yamalanmış olabilir, ancak APT grubu CLOP şantajlarına daha yeni başlıyor. CLOP'un MOVEit güvenlik açığı aracılığıyla saldırdığını iddia ettiği toplam 52 şirket adı yayınlandı - hatta bazı durumlarda ilk veri paketleri veya tüm veri ganimeti.
Her nasılsa CLOP grubu onun Robin Hood tavrına pek inanmıyor: APT grubu yalnızca büyük şirketlerden para aldığını iddia ediyor. Kamu ve devlet kurumlarından alınan veriler, grup siyasetle ilgilenmediği için zaten silinmişti. Ancak bazı uzmanlar, hükümet verilerinin silinmesinin yalnızca daha az düşman edinmeyi amaçladığı görüşünde. Aynı zamanda grup, zamanla daha da fazla şirket ismi yayınlayacağını duyurdu. MOVEit güvenlik açığından etkilenen ve saldırıya uğrayan.
Dark web'de yayınlanan 52'den fazla isim
🔎 CLOP sızıntı sayfası: Listelenen şirketlerin çoğu gruba ödeme yapmayı reddediyor. Ancak, ilk veri sızıntıları artık mevcut (Resim B2B-CS).
Şu anda yayınlanan 52 isim listesinde bazı tanınmış isimler yer alıyor. Bir Alman firması olarak Heidelberger Druckmaschinen AG gibi isimler var. Verivox ismi ise yine listeden çıktı. Ancak, Verivox'un kendisi bir basın açıklamasında verilerin kaybolduğunu bildiriyor: "Güvenlik açığı öğrenildikten sonra, Verivox yetkisiz veri erişimini önlemek için Verivox'taki MOVEit ortamını hemen çevrimdışına aldı. Sonraki adli incelemeler, bu kritik güvenlik açığıyla ilgili verilerin Verivox'taki MOVEit ortamı kapatılmadan önce çalındığını ortaya çıkardı." Artık listede olmadıkları için üç seçenek var: veriler CLOP'u ilgilendirmiyor ya da yeniden pazarlık yapıyorlar ya da ödediler.
Güvenlik sağlayıcısı NortonLifeLock da etkilendi
Uluslararası olarak CLOP listesinde bazı önemli isimler var: Shell, Boston Globe, yazılım üreticisi Nuance, Sony, denetçiler Ernst & Young ve sigorta şirketi Zürih PWC. Bu şirketlerin hepsinin gerçekten önemli verilerini kaybedip kaybetmediği elbette belli değil. Herhangi bir verinin üçüncü şahıslar aracılığıyla çalınıp çalınmadığı da net değil.
Pek çok ortam için NortonLifeLock adı, bir güvenlik sağlayıcısı olarak özellikle ilgi çekiciydi. Talebi üzerine Siber Ekspres yönetim hiçbir müşteri verisinin kaybolmadığını belirtti. Ancak NortonLifeLock sözcüsüne göre, "Maalesef, kalıcı çalışanların ve sözleşmeli işçilerin ad, şirket e-posta adresi, çalışan kimlik numarası ve birkaç durumda ev adresi ve doğum tarihi gibi bilgiler dahil olmak üzere bazı kişisel verileri etkilendi." .
Dark web'de yayınlanan ilk veriler
CLOP, gruplarından başka kimsenin güvenlik açığı için açıktan yararlanmaya sahip olmadığını ve kullanmadığını belirtir. Bazı şirketler henüz müzakereye girmediği için artık verilerini yayınlıyorlar. Heidelberger Druckmaschinen AG şirketininki gibi. Dark web'de CLOP, indirilmek üzere yaklaşık 750 MB paketlenmiş veri sunar. Ancak bunların gerçek olup olmadığı şüphelidir.
Diğer birçok şirket de CLOP ile anlaşma yapmıyor. Halihazırda listelenen 52 şirketten yaklaşık 12 şirket için tüm veriler zaten Darknet'te mevcut ve verilerin ilk bölümleri başka bir 2 şirket için mevcut. Pek çok şirketin CLOP'a herhangi bir para ödemediğini ve dolayısıyla başka saldırıları ortak finanse etmediğini görmek güzel.