MOVEit 攻撃の新たな被害者:Schneider Electric と Siemens Energy が攻撃された

Schneider Electric and Siemens Energy are two more victims of a MOVEit attack

2023/06/27 SecurityAffairs — MOVEit 攻撃の新たな被害者5社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加された。そのうちの Schneider Electric と Siemens Energy の2社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーである。

以下は、同グループのリークサイトに追加された被害者のリストである:

Clop ransomware MOVEit Transfer


DRM – Dashboard Ransomware Monitor の以下の表は、サイバー犯罪グループたちが最近にリークサイトに追加した被害者リストだ:

Clop ransomware MOVEit Transfer


脅威アクターたちは、先日に公開された MOVEit Transfer の脆弱性 CVE-2023-34362 を悪用して、数百の企業をハッキングしたと主張している。

Progress の MFT (Managed File Transfer) である MOVEit Transfer は、SFTP/SCP/HTTP ベースのアップロードを使用して、安全にファイルを転送するとされてきた。一連の攻撃で悪用されたのは SQL インジェクションの脆弱性であり、認証されていない攻撃者に対して、MOVEit Transfer のデータベースへの不正アクセスを許すものだ。

Clop ランサムウェア・ギャング (別名 Lace Tempest) は、MOVEit Transfer プラットフォームのゼロデイ脆弱性 CVE-2023-34362 を悪用するキャンペーンを展開し、Microsoft に発見された。

MOVEit Transfer のゼロデイに関連する被害者リストには、米エネルギー省/British Airways/Boots/BBC/Aer Lingus/Ofcom/Shell/ロチェスター大学/Gen Digital などが含まれている。

Clop ランサムウェア・ギャングなどの、米国の重要インフラを標的とする脅威アクターたちと、外国政府を関連付ける情報に対して、米国政府は最高で $10M という懸賞金を提供している。この懸賞金は、米国務省の司法のための報奨プログラムによりカバーされるという。

米国国務省の RFJ (Rewards For Justice) プログラムは、政府の対テロ報奨プログラムである。それらの行為に関与した人物の、有罪判決につながる情報に対して、金銭的報奨を提供することで、米国の利益に反する行為を阻止しようとしている。

Clop は、単なるランサムウェアなのか、それとも APT と関連するのか、一体どちらなのでしょう。これまでの活動の中では、2021/11/26 の「海運業大手の Swire Pacific Offshore がランサムウェア Clop の攻撃を受けている」や、2022/08/16 の「Clop ランサムウェアが英国の水道施設を攻撃:別会社を誤って恐喝して訂正」などが印象に残っていますが、たしかに、かなりのインフラ狙いであり、APT かもしれないという疑念が湧くのも当然と言えるでしょう。