安全動態(tài)

石油和天然氣巨頭殼牌證實(shí)遭到Clop勒索軟件攻擊

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2023-06-19    瀏覽次數(shù):
 

當(dāng)?shù)貢r(shí)間6月15日(周四)殼牌公司證實(shí),Clop勒索軟件團(tuán)伙將這家英國石油和天然氣跨國公司列在其勒索網(wǎng)站。據(jù)信該團(tuán)伙利用MOVEit文件傳輸工具漏洞攻入了公司網(wǎng)絡(luò),該公司受到了影響。這是殼牌公司第二次受到針對文件傳輸服務(wù)的Clop勒索團(tuán)伙的攻擊。殼牌公司在全球擁有80,000多名員工,去年報(bào)告的收入超過3810億美元。殼牌發(fā)言人告訴Recorded Future News:“我們知道網(wǎng)絡(luò)安全事件影響了Progress的第三方工具M(jìn)OVEit Transfer,少數(shù)殼牌員工和客戶使用該工具。”他們強(qiáng)調(diào)“沒有證據(jù)表明殼牌的核心IT系統(tǒng)受到影響”,并表示他們的IT團(tuán)隊(duì)繼續(xù)調(diào)查此事件?!拔覀儧]有與黑客溝通,”發(fā)言人補(bǔ)充說。

另據(jù)CNN當(dāng)?shù)貢r(shí)間15日報(bào)道稱,美國多個(gè)聯(lián)邦機(jī)構(gòu)也被黑客利用MOVEi零日漏洞攻破。據(jù)聯(lián)邦新聞網(wǎng)報(bào)道,美國能源部 (DOE) 的兩個(gè)實(shí)體也遭到入侵 。

受害者名單還在增加

Clop對MOVEit的黑客攻擊在英國造成了許多受害者,包括BBC、英國航空公司和愛爾蘭航空公司、藥品零售商Boots,甚至是該國的通信監(jiān)管機(jī)構(gòu)Ofcom。

作為MOVEit工具的直接用戶,殼牌和Ofcom在有限的設(shè)置中似乎受到的影響較小。Ofcom表示,在這次攻擊中下載了“有限數(shù)量的信息”,盡管其中一些信息是機(jī)密的,并且與其監(jiān)管的公司有關(guān),還有412名Ofcom員工的個(gè)人數(shù)據(jù)。

然而,BBC、英國航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影響,因?yàn)槲募鬏敼ぞ哒灰患颐麨閆ellis的第三方薪資服務(wù)供應(yīng)商使用。

在首都運(yùn)營公共交通的倫敦交通局也確認(rèn)受到了該事件的影響。一位發(fā)言人告訴 Recorded Future News:“與英國的其他公司一樣,我們的一家承包商最近遭遇了數(shù)據(jù)泄露。該問題已得到解決,IT系統(tǒng)已得到保護(hù)。有問題的數(shù)據(jù)不包括銀行詳細(xì)信息,我們正在寫信給所有相關(guān)人員,讓他們了解這一事件。”

據(jù)《每日電訊報(bào)》報(bào)道,倫敦交通局?jǐn)?shù)據(jù)庫中多達(dá)13,000名司機(jī)已收到警告,他們的個(gè)人數(shù)據(jù)在該事件中被盜,這影響了運(yùn)營該市交通擁堵和停車收費(fèi)計(jì)劃的承包商。

BBC新聞報(bào)道稱,專業(yè)服務(wù)公司EY也受到了影響。目前尚不清楚EY是否是Zelli的客戶,或者他們是否直接使用MOVEit Transfer。兩個(gè)已確認(rèn)的Zellis用戶——BBC和英國航空公司——已警告他們的所有員工,他們的數(shù)據(jù)可能已被盜。

使用MOVEi 跨部門共享文件的新斯科舍省政府也證實(shí)受到了影響,并在一份聲明中表示,部分公民的個(gè)人信息可能已被泄露。然而,在其泄密網(wǎng)站上的一條消息中,Clop說,“如果你是政府、城市或警察部門……我們刪除了你的所有數(shù)據(jù)?!?

雖然襲擊的全部范圍仍然未知,但新的受害者不斷挺身而出。

Clop周三(6月14日)列出了第一批據(jù)稱利用MOVEit漏洞入侵的組織。受害者名單發(fā)布在Clop的暗網(wǎng)泄密網(wǎng)站上,其中包括總部位于美國的金融服務(wù)機(jī)構(gòu)1st Source 和First National Bankers Bank;總部位于波士頓的投資管理公司Putnam Investments;位于荷蘭的Landal Greenparks;和總部位于英國的能源巨頭殼牌。據(jù)BleepingComputer報(bào)道,五家上市公司——英國跨國石油和天然氣公司殼牌、佐治亞大學(xué) (UGA) 和佐治亞大學(xué)系統(tǒng) (USG)、UnitedHealthcare Student Resources (UHSR)、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer證實(shí)他們在襲擊中受到影響。

有一個(gè)例外是GreenShield Canada公司,這家提供健康和牙科福利的非營利性福利承運(yùn)商,曾被列在泄漏網(wǎng)站上,但已被刪除。

其他受害者還包括金融軟件提供商 Datasite;教育性非營利性國家學(xué)生信息交換所;學(xué)生健康保險(xiǎn)提供商 United Healthcare Student Resources;美國制造商 Leggett & Platt;瑞士保險(xiǎn)公司?KK等。

約翰霍普金斯大學(xué)本周證實(shí)了一起據(jù)信與MOVEit大規(guī)模黑客攻擊有關(guān)的網(wǎng)絡(luò)安全事件。該大學(xué)在一份聲明中表示,數(shù)據(jù)泄露“可能影響了敏感的個(gè)人和財(cái)務(wù)信息”,包括姓名、聯(lián)系信息和健康賬單記錄。

研究人員還報(bào)告說,Clop可能早在2021年就一直在利用MOVEit漏洞。美國風(fēng)險(xiǎn)咨詢公司Kroll在一份報(bào)告中表示,雖然該漏洞在5月下旬才曝光,但其研究人員發(fā)現(xiàn)的活動表明Clop正在試驗(yàn)將近兩年來利用此特定漏洞的方法。

Kroll研究人員說:“這一發(fā)現(xiàn)說明了大規(guī)模利用事件(例如MOVEit Transfer網(wǎng)絡(luò)攻擊)所涉及的復(fù)雜知識和計(jì)劃?!?

Secureworks Counter Threat Unit威脅研究主管Chris Yule表示,網(wǎng)絡(luò)罪犯可能需要一些時(shí)間才能對付受害者。

“是否會有一個(gè)轉(zhuǎn)儲或滴灌還有待觀察,[但]GoAnywhere 受害者是在14天內(nèi)分批發(fā)布的,”Yule說。

“Clop發(fā)布的第一個(gè)名字包括許多美國金融服務(wù)公司。雖然上傳剛剛開始,但我們預(yù)計(jì)受害者的其余部分可能位于美國,因?yàn)榛ヂ?lián)網(wǎng)上的大多數(shù)MOVEit服務(wù)器都位于美國?!?

Picus Security的威脅研究員Hüseyin Can Yuceel表示,更慢地公布受害者的詳細(xì)信息可能會迫使其他人支付贖金,很明顯,Clop 的威脅并不是虛張聲勢。


 
 

上一篇:浙江公安網(wǎng)安部門適用《數(shù)據(jù)安全法》對違法單位罰款100萬元

下一篇:2023年6月19日聚銘安全速遞