MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始

Clop ransomware gang starts extorting MOVEit data-theft victims

2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。

企業への恐喝を開始した Clop

6月14日にClop は、データ漏洩サイトに 13社分の情報を掲載した。しかし、MOVEit Transfer 攻撃への関連性および、ランサムウェア攻撃への関連性は明言されていない。

情報が掲載された1社である Greenfield CA に関しては、その後に削除されており、掲載が間違いであったのか、あるいは、交渉が入ったのかという、推測が成り立つ。

その一方で、英国の多国籍石油企業である Shell/UnitedHealthcare Student Resources (UHSR) /ジョージア大学 (UGA) /ジョージア大学システム (USG) /Heidelberger Druck/Landal Greenparks の5者は、程度の差こそあれ、MOVEit 攻撃の影響を受けたことを、BleepingComputer に対して認めている。

Shell の主張は、少数の従業員と顧客だけが影響を受けたというものだが、Landal Greenparks はm約 12,000人の宿泊客の名前と連絡先が不正にアクセスされたと、BleepingComputer に述べている。

ジョージア大学システム/ジョージア大学/UnitedHealthcare Student Resources は、この攻撃について調査中であり、侵害が明らかになった場合に公表すると語っている。ドイツの印刷会社 Heidelberger Druck は、MOVEit Transfer を使用しているが、分析によると、データ漏洩には至らなかったと述べている。

Clop のデータ漏洩サイトに掲載されている Putnam Investments も、この件について調査中であると、BleepingComputer に回答している。

Clop のサイトに掲載されている、他の企業からは回答を得られていない。しかし、それらの企業が MOVEit Transfer を使用中か、あるいは、過去に使用していたかことを示すデータが、Macnica のセキュリティ研究者である Yutaka Sejiyama から BleepingComputer に提供されている。

すでに公開されている情報漏えいのインシデント

MOVEit Transfer の情報漏えいを公表した組織としては、Zellis (British Areway/BBC/Boots/Aer Lingus/アイルランド HSE) /ロチェスター大学/ノバスコシア州政府/米国ミズーリ州/米国イリノイ州/BORN Ontario/Ofcom/Extreme Networks/American Board of Internal Medicine などがある。

過去に発生した、Accellion FTA/GoAnywhere MFT/SolarWinds Serv-U などのマネージド・ファイル転送の、ゼロデイ脆弱性を利用した同様の攻撃において、脅威アクターたちは、データの流出を止めるために $10M の身代金を要求している。

BleepingComputer によると、GoAnywhere の恐喝オペレーションはあまり成功しておらず、企業は身代金を支払うよりも、漏洩したデータの公表を選んでいるとのことだ。

Clop が被害者への恐喝を開始したことで、MOVEit を介したデータ窃取攻撃の被害者たちが見えてきました。文中では、GoAnywhere 攻撃の被害が、それほど大きくなかっていないと示唆されていますが、MOVEit に対する攻撃と恐喝は、どのように展開していくのでしょうか? この US Offers $10m Reward For MOVEit Attackers という記事もポストされていましたが、GoAnywhere のときには、このような米政府の動きはありませんでした。