گروه باجافزاری Clop بیش از 130 سازمان را هک کرده و دادههای حساس بیش از 1 میلیون نفر را به سرقت برده است.
به گزارش گرداب، به تازگی حمله سایبری جدیدی به سامانههای مراقبت پزشکی آمریکا صورتگرفته و در طی آن گروه باجافزاری Clop توانسته تا به بیش از 130 سازمان و ارائهدهندگان خدمات بهداشت و درمان آمریکا نفوذ کند.
یکی از بزرگترین ارائهدهندگان مراقبتهای بهداشت و درمان آمریکا اسنادی را ارسال کرده است که نشان میدهد دادههای حساس بیش از یک میلیون نفر در پی نقصی که در سیستم انتقال آن بود، به سرقت رفته است. شرکت فورتا ارائهدهنده خدمات میگوید در پاسخ به سیل حملات سایبری با مشتریان و آژانس امنیت سایبری و امنیت زیرساخت (CISA) آمریکا همکاری میکند تا خسارتها کاهش داده شود. دلیل این حمله سایبری آسیبپذیری جدی در محصول انتقال فایل بوده است.
این حملات به دهها سازمان بزرگ از جمله دانشگاه سینسیاتی، سیستم سلامت کودکان نمورس (Nemours) و بسیاری از ادارات دولتی صورت گرفته و واکنشهای شدیدی به آن داده شده است.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا این موارد را به فهرست آسیبپذیریهایی که مورد سوءاستفاده قرار گرفتهاند، اضافه کرد و تا 3 مارس به آژانسهای فدرال غیرنظامی فرصت داد تا این مشکل را اصلاح کنند.
در تمام این مدت، فورتا فقط توصیه های خصوصی در مورد مشکلات در پورتال GoAnywhere مشتریان خود منتشر کرده است و آسیب پذیری را به طور عمومی اعلام نكرده است. اما شامگاه چهارشنبه، سخنگوی فورتا گفت که از حملات به سیستم انتقال در 30 ژانویه مطلع شد.
وی گفت: "ما فوراً اقدامات متعددی را برای رسیدگی به این موضوع انجام دادیم، از جمله قطع موقت این سرویس برای جلوگیری از هرگونه فعالیت غیرمجاز بیشتر، اطلاع دادن به همه مشتریانی که ممکن است تحت تأثیر قرار گرفته باشند، و به اشتراک گذاشتن راهنماییهایی جهت کاهش مخاطرات، که شامل دستورالعملهایی برای مشتریان اولیه ما در مورد اعمال اتصال به سرویس پورتابل است. علاوه بر این، با CISA هماهنگ کردیم تا اطلاعات مربوط به این آسیبپذیری را به کاتالوگ خود اضافه کنیم تا دامنه اطلاعات مربوط به این موضوع را افزایش دهیم. ما این موضوع را بسیار جدی میگیریم و به مشتریان خود کمک میکنیم تا اقدامات کاهشی را برای بهبود این مشکل اجرا کنند."
جدول زمانی مشخص شده توسط فورتا با آنچه یکی از نمایندگان هكر Clop گفت مطابقت دارد. این هکر در 10 فوریه ادعا کرد که به مدت 10 روز از طریق این آسیب پذیری اطلاعات را سرقت کرده است. آنها همچنین گفتند که باجافزاری را در شرکتهای آسیبدیده مستقر نمیکنند، بلكه فقط به صورت جانبی در سراسر شبکههای قربانی حرکت میکنند و دادهها را تا حد امكان سرقت میکنند.
مشاوره های خصوصی
هفته گذشته، فورتا یک توصیه خصوصی را در پورتال مشتریان خود منتشر کرد که توضیح میداد این باگ یک نقص تزریق کد از راه دور است که برای بهرهبرداری موفقیتآمیز نیازمند دسترسی به کنسول مدیریتی است. به طور خلاصه، اگر هکرهایی که از این آسیبپذیری استفاده میکنند بتوانند به اندازه کافی به یک سیستم نفوذ کنند، میتوانند آسیب زیادی وارد کنند.
این اشکال توسط برایان کربس، کارشناس امنیت سایبری منتشر شد. وی نوشت که این شرکت گفته است که "به طور موقت در پاسخ به حملات قطع سرویس را اجرا کرده است".
این شرکت هشدار داد که اگر یک کنسول مدیریتی - بخشی از نرمافزار با تنظیمات کلیدی - در معرض اینترنت عمومی قرار گیرد، "به شدت توصیه میشود با تیم پشتیبانی مشتری ما همکاری کنید تا کنترلهای دسترسی مناسب را برای محدود کردن منابع قابل اعتماد اعمال کنید."
کوین بومونت، کارشناس امنیتی، جستجویی را در پلتفرم امنیتی Shodan به اشتراک گذاشت که نشان داد 1008 مورد از ابزارهای پورتابل GoAnywhere در معرض اینترنت عمومی قرار دارند. تا بعدازظهر جمعه، این تعداد به 1004 کاهش یافت که 580 نفر در ایالات متحده و بیش از 60 نفر در آلمان بودند. اطلاعات به اشتراک گذاشته شده توسط کربس طیف وسیعی از اطلاعات را برای کمک به افراد آسیب دیده برای کاهش مخاطرات ارائه میدهد.
شركت سیستمهای سلامت جامعه (Community Health Systems) - که تقریباً 80 بیمارستان را در 16 ایالت کنترل می کند گفت که اطلاعات بهداشتی محافظت شده و موارد دیگر توسط هکرها از طریق آسیب پذیری پورتابل GoAnywhere به سرقت رفته است.
سخنگوی این شركت گفت که در حالی که این سرقت هیچ تاثیری بر عملیات بیمارستانی نداشته است، شرکت "در حال حاضر تخمین می زند که تقریباً یک میلیون نفر ممکن است تحت تأثیر این حمله قرار گرفته باشند". همچنین وی گفت که شركت قصد دارد نامههای اخطار نقض را برای قربانیان ارسال کند و خدمات محافظت از هویت را برای افراد آسیب دیده ارائه دهد.
پلتفرمهای اشتراکگذاری فایل مانند GoAnywhere MFT قبلاً به دلیل دادههایی که ممکن است داخل آنها وجود داشته باشند و استفاده گسترده از آنها در بین سازمانهای بزرگ، مورد هدف قرار گرفتهاند. آسیبپذیریای که یکی دیگر از ارائهدهندههای انتقال فایل، Accellion را تحت تأثیر قرار داده است، نرم افزاری كه از آن به طور مکرر برای هدف قرار دادن مؤسسات مالی، سازمانهای دولتی، دانشگاهها و شرکتها در سال ۲۰۲۱ استفاده شده است.
باند باجافزار Clop یکی از گروههایی بود که از آسیبپذیری Accellion بیشترین بهرهبرداری را کرد و به چندین قربانی معروف از جمله مورگان استنلی، شل، دانشگاه کلرادو، سازنده هواپیما Bombardier و فروشگاه خردهفروشی ایالات متحده حمله کرد.