RUSSISK HACKERGRUPPE HAR ANSVAR
Russiske cyberkriminelle har brukt en sårbarhet i fildelings-programvaren MOVEit til å utføre et stort dataangrep.
2. juni ble den tidligere «ukjente trusselen» identifisert som - CVE-2023-34362. Programvaren MOVEit, som er utviklet av Progress Software Corp. (Massachusetts USA), er et fildelings-verktøy som brukes av mange virksomheter og myndigheter i Storbritannia, USA og Canada.
OBS! Sikkerhetsoppdateringen som tilbys er helt avgjørende og burde nå bli installert av alle berørte selskaper.
UTNYTTELSE AV UKJENT (ZERO DAY) SÅRBARHET HOS TREDJEPART
Fildelings-programvare er et kjent mål for hackere fordi mange FTP (File Protocol Transfer) prosedyrer har vært i bruk lenge - noe som gjør at vedlikehold er enten vanskelig eller nedprioritert – og hackere er klare over dette. Cyberforskere i USA tror at angrepet kan ha blitt utført på Memorial Day Weekend (27. mai) – en langhelg når overvåkningstjenester var nedbemannet.
Basert på tidligere angrep utført av hackergruppen, Lace Tempest (cI0p), kan selskapene som ble utsatt sannsynligvis forvente et krav om løsepenger i de kommende ukene. MOVEit har kunder på tvers av svært regulerte bransjer, slik som myndigheter, finans- og helseorganisasjoner i mange forskjellige land. Angrepet er et typisk eksempel på en sårbarhet i tredjeparts-programvare som blir utnyttet for å rette et dataangrep mot flere selskaper samtidig - selskaper med ekstremt sensitive data om kunder og ansatte.
TYPISK DATAANGREP via TREDJEPARTSLEVERANDØR:
- En tredjeparts programvareleverandør blir utsatt for en sårbarhet som kan utnyttes - i dette tilfelle MOVEit.
- Noen black-hat hackere identifiserer sårbarheten.
- Selskaper som bruker programvaren blir angrepet - Zellis er en av mange.
- Sårbarheten i programvaren kan deretter, hvis mulig, utnyttes direkte, eller hackere kan hente ut brukerinformasjon som igjen kan brukes til å gjennomføre et dataangrep – ofte via et målrettede phishing-forsøk.
HVA KAN MAN GJØRE FOR Å BESKYTTE SEG MOT ET SLIKT ANGREP?
- Bruk Zero Trust databeskyttelse med "threat hunting" som jakter aktivt etter ukjente trusler slik at de blir avdekket – før de rekker å gjøre hoe skadelig.
- Utfør regelmessige phishing-simuleringer slik at medarbeiderne kan lære å gjenkjenne falske e-post – til å med de som kommer fra en kjent mailadresse.
- Bruk SecurityScorecard for å kartlegge hvilke underleverandører bedriften har, og få varsel når nye sårbarheter i leverandørkjeden oppdages. Kan også brukes til å vurdere programvare-leverandører før man inngår avtale.
- Bruk 2-faktor autorisering og ekstra beskyttelse for admin-tilgang.
- Bruk KeepIt backup-løsning for skydata (Microsoft 365, Azure AD f.eks.) i tilfelle data blir kompromittert.
KOMMENTAR FRA KNOWBE4 CYBERSIKKERHETSEKSPERT
“It’s unfortunate to see so many people affected by this cyberattack. This news demonstrates that the challenges of keeping systems secure go beyond mere firewalls and antivirus software. Securing the supply chain depends on implementing robust cybersecurity measures, such as constant monitoring, insider threat detection, and ongoing education and awareness among users and all staff members. The theft of data from BA and Boots illustrates how organisations depend on software solutions like MOVEit, which underpin their infrastructure and provide an attractive target to cybercriminals, even when they themselves are not household names.
“In the end, proactive cybersecurity measures can help guard against cyberattacks, but organizations must also prepare for scenarios where a system vulnerability is exploited and no patch is available yet, such as is the case with zero-day vulnerabilities. This breach serves as a dire reminder that organisations need to remain vigilant and work constantly to identify and mitigate these risks to protect their data and their stakeholders.” - Javvad Malik
