Deze audio wordt automatisch gegenereerd. Laat het ons weten als u feedback heeft.
De massale uitbuiting van een zero-day-kwetsbaarheid in MOVEit heeft tot nu toe meer dan 600 organisaties en 40 miljoen individuen gecompromitteerd, maar de cijfers verhullen een meer rampzalige uitkomst die zich nog steeds ontvouwt.
De slachtofferpool vertegenwoordigt enkele van de meest diepgewortelde instellingen in zeer gevoelige – en gereguleerde – sectoren, waaronder gezondheidszorg, onderwijs, financiën, verzekeringen, overheid, pensioenfondsen en productie.
Het daaropvolgende bereik en de potentiële blootstelling veroorzaakt door de reeks aanvallen van de Clop-ransomwaregroep tegen deze organisaties is enorm, en het aantal downstream-slachtoffers is nog niet volledig gerealiseerd.
Colorado State University werd zes keer geraakt, op zes verschillende manieren. De externe leveranciers van de school – TIAA, National Student Clearinghouse, Corebridge Financial, Genworth Financial, Sunlife en The Hartford – brachten de school allemaal op de hoogte van datalekken in verband met de MOVEit-aanvallen.
Drie van de vier grote accountantskantoren – Deloitte, Ernst & Young en PwC – zijn ook getroffen, waardoor de gevoelige klantgegevens die ze bewaren in gevaar komen.
Overheidscontractant Maximus meldde een van de ergste inbreuken die verband hielden met het MOVEit-compromis, nadat de persoonlijk identificeerbare informatie van maximaal 11 miljoen personen mogelijk was onthuld. De gegevens van meer dan 600.000 Medicare-begunstigden werden openbaar gemaakt als onderdeel van de Maximus-inbreuk.
De wijdverbreide aanval tegen MOVEit en zijn klanten was “zeer creatief, goed gepland, georganiseerd door meerdere groepen en goed uitgevoerd omdat ze in staat waren om op grote schaal records te stelen”, zei onafhankelijk analist Michael Diamond via e-mail.
“Ze hebben ongetwijfeld een van de sappige delen van de boomgaard geraakt vanuit een informatieperspectief waarmee ze in de toekomst geld zullen blijven verdienen en gebruiken voor aanvallen,” zei Diamond. “Mijn indruk is dat dit in de loop van de tijd alleen maar erger zal worden.”
Diamond is niet de enige die voorspelt dat het ergste nog moet komen.
“De omvang van de aanval en de spraakmakende slachtoffers maken de MOVEit-campagne misschien wel de meest succesvolle publieke afpersingscampagne die we tot nu toe hebben gezien”, zei Rick Holland, VP en CISO bij Reliaquest, via e-mail.
De uiteindelijke omvang van de aangerichte schade blijft misschien onbekend, maar de ingrijpende impact van de aanvallen zal uiteindelijk worden gemeten in jaren, niet in maanden, zei Holland.
Schendingen leiden tot schendingen
De pool van slachtoffers blijft groeien naarmate het financieel gemotiveerde Clop meer organisaties op zijn leksite vermeldt en bedrijven onthullingen over aanvallen binnendruppelen.
“Het aantal inbreuken en de omvang van de records die door deze uitgebuite kwetsbaarheid worden blootgelegd, is enorm en voortdurend, wat betekent dat er nog veel meer inbreukmeldingen zullen volgen”, zegt Jess Burn, senior analist bij Forrester.
Terwijl wereldwijde ondernemingen in het begin werden getroffen, zullen kleinere organisaties die niet over de vaardigheden en middelen beschikken om het probleem op te lossen of aan de eisen van Clop te voldoen, volgens Burn nu meer worden getroffen.
Het gaat nu slecht, ook al nemen de dagelijkse meldingen van schade veroorzaakt door Clop af.
“Van wat we al hebben gezien, is dit ongeveer zo erg als je kunt krijgen”, zei Zane Bond, hoofd product bij Keeper Security, via e-mail. “Deze aanvallen zijn gericht op de systemen die organisaties gebruiken om hun meest gevoelige gegevens veilig te transporteren, waaronder klantinformatie, gezondheidsinformatie, PII en meer.”
Nul dagen in de toeleveringsketen
Het eerste teken van problemen dook meer dan twee maanden geleden op. Clop’s massale uitbuiting van de zero-day kwetsbaarheid in MOVEit en de reeks resulterende aanvallen verliep snel.
‘Clop is geen doorsnee opportunistische afpersingsgroep. De groep is een geavanceerde dreigingsactor die gebruikmaakt van nul dagen met geavanceerde capaciteiten, ‘zei Holland.
De dreigingsactor is dit jaar verantwoordelijk voor twee spraakmakende aanvallen op de toeleveringsketen, waaronder een zero-day-kwetsbaarheid in Fortra’s GoAnywhere-service voor bestandsoverdracht die de groep in maart uitbuitte. Clop was ook verantwoordelijk voor de zero-day exploit-campagne tegen de Accellion-apparaten voor bestandsoverdracht in 2020 en 2021.
Clop heeft een draaiboek dat werkt. Voorafgaand aan deze golf van aanvallen schatten de Cybersecurity and Infrastructure Security Agency en de FBI dat Clop meer dan 11.000 organisaties had gecompromitteerd sinds het voor het eerst verscheen in februari 2019.
Andere bedreigingsactoren hebben grotere aanvallen geïnitieerd die meer schade hebben aangericht, “maar slechts weinigen slagen erin de kroonjuwelen te bemachtigen waar tegenstanders zo gemakkelijk naar op zoek zijn”, zei Bond.
De financiële impact van de campagne van Clop loopt nu al in de miljarden. Op basis van onthullingen die tot nu toe zijn ingediend bij de procureurs-generaal en de Securities and Exchange Commission, en IBM’s geschatte kosten van een datalek van $ 165 per record, hebben de kosten van de MOVEit-aanvallen volgens Emsisoft de $ 6,5 miljard overschreden.
“Deze een-op-veel-aanvallen via veelgebruikte software zoals MOVEit zijn de reden waarom overheidsinstanties zoals CISA meer druk uitoefenen op technologiebedrijven om te beveiligen wat ze verkopen,” zei Burn.
Secure-by-design en secure-by-default-principes zijn een kernprincipe van de nationale cyberbeveiligingsstrategie van de Biden-regering die in maart werd onthuld. Pogingen om meer verantwoordelijkheid bij de technologiesector te leggen, worden grotendeels toegejuicht, maar cyberbeveiligingsexperts zeiden dat het plan geen tanden heeft en waarschijnlijk niet snel of gemakkelijk tot stand zal komen.
Cyberverzekeringsmaatschappijen nemen ook de technologiestapels van klanten onder de loep om dekkingsrisico’s en mogelijke claims te beoordelen.
Klanten vormen een “kritieke derde groep” die technologiebedrijven onder druk moet zetten, zei Burn. Ze kunnen dit bereiken door zich te verdiepen in de beveiligingspraktijken van hun toeleveringsketenpartners en belangrijke technologieleveranciers, en door meer transparantie te eisen via een softwarestuklijst.
Risico’s en verantwoordelijkheden
Risico’s loeren om elke hoek in de toeleveringsketen, maar organisaties kunnen de blootstelling beperken door grip te krijgen op hun technologiestapels en snel te reageren op compromissen, aldus cyberbeveiligingsexperts.
“Uiteindelijk brengt het vertrouwen van een derde partij met uw gegevens altijd risico’s met zich mee”, zei Adrian Korn, senior manager van bedreigingsinformatie bij Arctic Wolf Labs, via e-mail.
De leveranciersorganisaties waarmee ze samenwerken en hun respectievelijke externe leveranciers, al dan niet uitbesteed, maken verdediging des te complexer. Maar dat doet niets af aan de verschillende niveaus van verantwoordelijkheid die leveranciers hebben om veilige software en diensten te leveren.
“Bedrijven die de bewaarders van kritieke informatie zijn, stellen veel hogere eisen aan beveiliging en monitoring dan andere soorten organisaties”, aldus Bond.
Weerbaarheid tegen aanvallen op de toeleveringsketen zal een grotere uitdaging worden naarmate organisaties meer cloudgebaseerde diensten gaan gebruiken, aldus Holland.
“De campagne van Clop illustreert de absolute kwetsbaarheid van de toeleveringsketen”, zei Holland. “Organisaties hebben het al moeilijk genoeg om hun infrastructuur te beveiligen.”
Source link: https://www.highereddive.com/news/moveit-attacks-bad-to-worse/690420/
