當(dāng)?shù)貢r(shí)間6月15日(周四)殼牌公司證實(shí)����,Clop勒索軟件團(tuán)伙將這家英國石油和天然氣跨國公司列在其勒索網(wǎng)站。據(jù)信該團(tuán)伙利用MOVEit文件傳輸工具漏洞攻入了公司網(wǎng)絡(luò)�����,該公司受到了影響����。這是殼牌公司第二次受到針對文件傳輸服務(wù)的Clop勒索團(tuán)伙的攻擊。殼牌公司在全球擁有80,000多名員工���,去年報(bào)告的收入超過3810億美元���。殼牌發(fā)言人告訴Recorded Future News:“我們知道網(wǎng)絡(luò)安全事件影響了Progress的第三方工具M(jìn)OVEit Transfer,少數(shù)殼牌員工和客戶使用該工具��?�!彼麄儚?qiáng)調(diào)“沒有證據(jù)表明殼牌的核心IT系統(tǒng)受到影響”����,并表示他們的IT團(tuán)隊(duì)繼續(xù)調(diào)查此事件���?�!拔覀儧]有與黑客溝通�,”發(fā)言人補(bǔ)充說。
另據(jù)CNN當(dāng)?shù)貢r(shí)間15日報(bào)道稱�����,美國多個(gè)聯(lián)邦機(jī)構(gòu)也被黑客利用MOVEi零日漏洞攻破�。據(jù)聯(lián)邦新聞網(wǎng)報(bào)道,美國能源部 (DOE) 的兩個(gè)實(shí)體也遭到入侵 �。
受害者名單還在增加
Clop對MOVEit的黑客攻擊在英國造成了許多受害者,包括BBC�、英國航空公司和愛爾蘭航空公司、藥品零售商Boots���,甚至是該國的通信監(jiān)管機(jī)構(gòu)Ofcom��。
作為MOVEit工具的直接用戶�,殼牌和Ofcom在有限的設(shè)置中似乎受到的影響較小�。Ofcom表示,在這次攻擊中下載了“有限數(shù)量的信息”���,盡管其中一些信息是機(jī)密的����,并且與其監(jiān)管的公司有關(guān),還有412名Ofcom員工的個(gè)人數(shù)據(jù)����。
然而,BBC����、英國航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影響���,因?yàn)槲募鬏敼ぞ哒灰患颐麨閆ellis的第三方薪資服務(wù)供應(yīng)商使用����。
在首都運(yùn)營公共交通的倫敦交通局也確認(rèn)受到了該事件的影響�。一位發(fā)言人告訴 Recorded Future News:“與英國的其他公司一樣,我們的一家承包商最近遭遇了數(shù)據(jù)泄露�����。該問題已得到解決��,IT系統(tǒng)已得到保護(hù)���。有問題的數(shù)據(jù)不包括銀行詳細(xì)信息�����,我們正在寫信給所有相關(guān)人員�,讓他們了解這一事件�。”
據(jù)《每日電訊報(bào)》報(bào)道�,倫敦交通局?jǐn)?shù)據(jù)庫中多達(dá)13,000名司機(jī)已收到警告,他們的個(gè)人數(shù)據(jù)在該事件中被盜�,這影響了運(yùn)營該市交通擁堵和停車收費(fèi)計(jì)劃的承包商。
BBC新聞報(bào)道稱�����,專業(yè)服務(wù)公司EY也受到了影響��。目前尚不清楚EY是否是Zelli的客戶�,或者他們是否直接使用MOVEit Transfer。兩個(gè)已確認(rèn)的Zellis用戶——BBC和英國航空公司——已警告他們的所有員工���,他們的數(shù)據(jù)可能已被盜��。
使用MOVEi 跨部門共享文件的新斯科舍省政府也證實(shí)受到了影響���,并在一份聲明中表示����,部分公民的個(gè)人信息可能已被泄露�����。然而�����,在其泄密網(wǎng)站上的一條消息中�,Clop說,“如果你是政府���、城市或警察部門……我們刪除了你的所有數(shù)據(jù)�?!?
雖然襲擊的全部范圍仍然未知,但新的受害者不斷挺身而出���。
Clop周三(6月14日)列出了第一批據(jù)稱利用MOVEit漏洞入侵的組織�。受害者名單發(fā)布在Clop的暗網(wǎng)泄密網(wǎng)站上��,其中包括總部位于美國的金融服務(wù)機(jī)構(gòu)1st Source 和First National Bankers Bank��;總部位于波士頓的投資管理公司Putnam Investments���;位于荷蘭的Landal Greenparks���;和總部位于英國的能源巨頭殼牌。據(jù)BleepingComputer報(bào)道�����,五家上市公司——英國跨國石油和天然氣公司殼牌����、佐治亞大學(xué) (UGA) 和佐治亞大學(xué)系統(tǒng) (USG)、UnitedHealthcare Student Resources (UHSR)�、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer證實(shí)他們在襲擊中受到影響。
有一個(gè)例外是GreenShield Canada公司��,這家提供健康和牙科福利的非營利性福利承運(yùn)商�,曾被列在泄漏網(wǎng)站上,但已被刪除�。
其他受害者還包括金融軟件提供商 Datasite;教育性非營利性國家學(xué)生信息交換所����;學(xué)生健康保險(xiǎn)提供商 United Healthcare Student Resources��;美國制造商 Leggett & Platt��;瑞士保險(xiǎn)公司?KK等�。
約翰霍普金斯大學(xué)本周證實(shí)了一起據(jù)信與MOVEit大規(guī)模黑客攻擊有關(guān)的網(wǎng)絡(luò)安全事件�����。該大學(xué)在一份聲明中表示����,數(shù)據(jù)泄露“可能影響了敏感的個(gè)人和財(cái)務(wù)信息”,包括姓名����、聯(lián)系信息和健康賬單記錄。
研究人員還報(bào)告說�,Clop可能早在2021年就一直在利用MOVEit漏洞。美國風(fēng)險(xiǎn)咨詢公司Kroll在一份報(bào)告中表示�����,雖然該漏洞在5月下旬才曝光��,但其研究人員發(fā)現(xiàn)的活動表明Clop正在試驗(yàn)將近兩年來利用此特定漏洞的方法。
Kroll研究人員說:“這一發(fā)現(xiàn)說明了大規(guī)模利用事件(例如MOVEit Transfer網(wǎng)絡(luò)攻擊)所涉及的復(fù)雜知識和計(jì)劃�����?��!?
Secureworks Counter Threat Unit威脅研究主管Chris Yule表示,網(wǎng)絡(luò)罪犯可能需要一些時(shí)間才能對付受害者��。
“是否會有一個(gè)轉(zhuǎn)儲或滴灌還有待觀察�,[但]GoAnywhere 受害者是在14天內(nèi)分批發(fā)布的,”Yule說�����。
“Clop發(fā)布的第一個(gè)名字包括許多美國金融服務(wù)公司��。雖然上傳剛剛開始�����,但我們預(yù)計(jì)受害者的其余部分可能位于美國����,因?yàn)榛ヂ?lián)網(wǎng)上的大多數(shù)MOVEit服務(wù)器都位于美國。”
Picus Security的威脅研究員Hüseyin Can Yuceel表示����,更慢地公布受害者的詳細(xì)信息可能會迫使其他人支付贖金,很明顯���,Clop 的威脅并不是虛張聲勢����。
