Kerentanan keamanan ini dilacak sebagai CVE-2023-0669, memungkinkan penyerang mendapatkan eksekusi kode jarak jauh pada instans MFT GoAnywhere yang belum ditambal dengan konsol administratif mereka yang terpapar ke akses Internet.
Dikutip dari Bleeping Computer, Clop mengatakan bahwa mereka telah mencuri data selama sepuluh hari setelah melanggar server yang rentan terhadap eksploitasi yang menargetkan bug ini. Mereka juga mengklaim bahwa mereka dapat bergerak secara lateral melalui jaringan korban mereka.
“Awalnya kami ingin mengenkripsi tetapi memutuskan untuk tidak melakukannya dan hanya mencuri dokumen yang disimpan di server MFT GoAnywhere yang disusupi,” kata Clop Ransomware.
Geng tersebut menolak memberikan bukti atau membagikan detail tambahan terkait klaim mereka saat BleepingComputer menanyakan kapan serangan dimulai, apakah mereka sudah mulai memeras korbannya, dan uang tebusan apa yang mereka minta.
BleepingComputer tidak dapat secara independen mengonfirmasi klaim Clop, dan Fortra belum membalas email yang meminta info lebih lanjut mengenai eksploitasi CVE-2023-0669 dan tuduhan grup ransomware.
Namun, Manajer Intelijen Ancaman Huntress Joe Slowik menghubungkan serangan MFT GoAnywhere ke TA505, kelompok ancaman yang dikenal menyebarkan ransomware Clop di masa lalu, saat menyelidiki serangan di mana pengunduh malware TrueBot digunakan.
“Meskipun tautan tidak otoritatif, analisis aktivitas Truebot dan mekanisme penerapan menunjukkan tautan ke grup yang disebut TA505. Distributor keluarga ransomware yang disebut Clop, melaporkan dari berbagai entitas menghubungkan aktivitas Silence/Truebot dengan operasi TA505," kata Slowik.
Berdasarkan tindakan yang diamati dan pelaporan sebelumnya, kami dapat menyimpulkan dengan keyakinan moderat bahwa aktivitas yang diamati Huntress dimaksudkan untuk menyebarkan ransomware, dengan potensi eksploitasi oportunistik tambahan dari MFT GoAnywhere yang terjadi untuk tujuan yang sama.
Sementara itu, pengembang MFT GoAnywhere Fortra (sebelumnya dikenal sebagai HelpSystems) mengungkapkan kepada pelanggannya minggu lalu bahwa kerentanan sedang dieksploitasi sebagai zero-day in the wild.
Pada hari Senin, eksploit proof-of-concept juga dirilis secara online, memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada server yang rentan. Perusahaan mengeluarkan pembaruan keamanan darurat pada hari berikutnya untuk memungkinkan pelanggan mengamankan server mereka dari upaya serangan yang masuk.
Sejak itu, Fortra telah menerbitkan pembaruan lain di situs web dukungannya (hanya dapat diakses setelah masuk dengan akun pengguna) pada hari Kamis, mengatakan bahwa beberapa contoh MFTaaS miliknya juga dilanggar dalam serangan tersebut.
“Kami telah menentukan bahwa pihak yang tidak berwenang mengakses sistem melalui eksploit yang sebelumnya tidak diketahui dan membuat akun pengguna yang tidak sah," kata Fortra.
Dugaan Clop menggunakan GoAnywhere MFT zero-day untuk mencuri data adalah taktik yang sangat mirip dengan yang mereka gunakan pada Desember 2020, ketika mereka menemukan dan mengeksploitasi kerentanan Accellion FTA zero-day untuk mencuri data sekitar 100 perusahaan.
Pada saat itu, perusahaan menerima email yang menuntut pembayaran uang tebusan $10 juta untuk menghindari kebocoran data mereka ke publik. Dalam serangan Accellion 2020, operator Clop mencuri sejumlah besar data dari perusahaan terkenal menggunakan File Transfer Appliance (FTA) warisan Accellion.
Organisasi yang servernya diretas oleh Clop termasuk, antara lain, raksasa energi Shell, raksasa supermarket Kroger, firma keamanan siber Qualys, dan beberapa universitas di seluruh dunia (mis., Stanford Medicine, University of Colorado, University of Miami, University of Maryland Baltimore (UMB) , dan Universitas California).
Pada Juni 2021, beberapa infrastruktur Clop ditutup setelah operasi penegakan hukum internasional dengan nama sandi Operasi Topan ketika enam pencuci uang yang memberikan layanan kepada geng ransomware Clop ditangkap di Ukraina.
Geng tersebut juga telah dikaitkan dengan serangan ransomware di seluruh dunia setidaknya sejak 2019. Beberapa korban yang servernya dienkripsi oleh Clop termasuk Maastricht University, Software AG IT, ExecuPharm, dan Indiabulls.
Comments
Post a Comment