MOVEit-intrånget är en av 2023 års största ransomware-attacker och har påverkat miljontals människor över hela världen.
Viktiga takeaways
- MOVEit-intrånget, utfört av Clop ransomware-gruppen, är ett av de största hackarna under 2023 och påverkar 2 659 organisationer och 67 miljoner människor.
- Intrånget utnyttjade nolldagssårbarheter i MOVEit-applikationen, vilket gav angripare tillgång till känslig data som lagras av organisationer som använder programvaran.
- Utbildningssektorn påverkades hårt av intrånget, med universitet som John Hopkins och Webster University bland dem som drabbades. Andra påverkade sektorer inkluderar hälsa, finans och företag.
Är du en av 62 miljoner människor som drabbats av MOVEit-intrånget? MOVEit-intrånget är ett av de största hackarna 2023, där Clop ransomware-gruppen löser tusentals organisationer och tjänar undan med tiotals miljoner dollar.
Så vad är MOVEit ransomware-attacken, och hur har den påverkat så många människor?
Vad är MOVEit?
MOVEit är en säker filöverföringsprogramvara och tjänst utvecklad av Progress Software, designad för att underlätta säker överföring av känslig data mellan organisationer och individer. MOVEit används av företag, statliga organisationer, universitet och i princip alla enheter som lagrar och hanterar sina data, vilket gör att företag kan överföra filer och data på ett säkert sätt för att skydda dem från
obehörig åtkomst eller överträdelser.Men i maj 2023 slutade detta att vara fallet eftersom Clop ransomware-gruppen hackade tusentals organisationers data som använde MOVEIt för sina data.
Hur hände MOVEit-intrånget?
I maj 2023 utnyttjade den ökända Clop ransomware-gruppen flera nolldagars sårbarheter i MOVEIt-applikationen.
En noll dagars sårbarhet är en mjukvarusäkerhetsbrist som är okänd för leverantören eller allmänheten och som utnyttjas av angripare innan en korrigering eller korrigering är tillgänglig. Zero-day sårbarheter är särskilt farliga eftersom de kan utnyttjas smygande utan leverantörens vetskap under mycket lång tid.
Progress Software korrigerade så småningom dessa sårbarheter, men det var redan för sent. Under perioden var sårbarheten okänd för allmänheten och leverantörer, angripare fick tillgång till och bröt mot data från tusentals organisationer som använde MOVEit för att hantera och överföra deras data.
Clop ransomware-gruppen upptäckte flera SQL-injektionssårbarheter i MOVEit-applikationen, vilket gjorde det möjligt för dem att komma åt databasen med organisationer och ladda ner och visa data. SQL-injektion är en sårbarhet där skadlig SQL-kod infogas i inmatningsfält och utnyttjar sårbarheter i en databasstödd applikation. Den obehöriga koden kan manipulera databasen, potentiellt exponera eller ändra känslig information.
SQL-injektionssårbarheterna är registrerade som CVE-2023-34362, CVE-2023-35036 och CVE-2023-35708, och korrigerades den 31 maj 2023, 9 juni 2023 respektive 15 juni 2023. Alla versioner av MOVEit-överföringsapplikationen var sårbara för dessa sårbarheter. När den utnyttjas tillåter den en oautentiserad angripare att få tillgång till innehållet i organisationens MOVEIt-överföringsdatabas. Detta innebär att angriparen kan ladda ner, ändra eller till och med ta bort databaser utan några begränsningar.
Effekten av MOVEit-överträdelsen
Enligt Emisofts analys och statistik rörande MOVEit-dataintrånget, den 9 november 2023 har 2 659 organisationer påverkats av MOVEit-intrånget, och över 67 miljoner människor har drabbats av organisationer huvudsakligen baserade i USA och Kanada, Tyskland och Storbritannien.
Utbildning är den mest påverkade sektorn, med data från många universitet som sugs av dessa angripare. Utbildningsorganisationer som påverkas av detta brott inkluderar New York Citys offentliga skolsystem, John Hopkins University, University of Alaska och Webster University, bland andra populära universitet. Andra sektorer som i hög grad påverkas av detta brott inkluderar hälsosektorn, banker, finansiella institutioner och företag.
Några av de mer kända organisationer som påverkas av MOVEit ransomware inkluderar BBC, Shell, Siemens Energy, Ernst & Young och British Airways.
Den 25 september 202, ledande prenatal-, nyfödd- och barnregistertjänst,FÖDD Ontario, släppte ett uttalande om MOVEit-intrånget som avslöjar att de påverkades av MOVEit-intrånget. Enligt deras rapport tillät MOVEit-sårbarheten obehöriga skadliga tredjepartsaktörer att komma åt och kopiera filer av personlig hälsoinformation som finns i BORN Ontario-register, som hade överförts med den säkra filöverföringsprogramvaran.
Som svar isolerade Born Ontario omedelbart systemet, avvecklade den berörda servern och startade en undersökning, samarbeta med cybersäkerhetsexperter för att fastställa svårighetsgraden och vilka specifika uppgifter som var stulen.
Många av dessa organisationer hackades inte för att de använde MOVEit-applikationen utan för att de nedlåtande tredjepartsleverantörer som använde MOVEit-överföringsapplikationen, vilket ledde till att de fick också brutits. Det är en liknande situation för andra organisationer, som kostar miljarder dollar i betalningar av ransomware och andra säkerhetskorrigeringar.
Du har drabbats av MOVEit-överträdelsen. Vad härnäst?
Om du fortfarande använder MOVEit, patcha det omedelbart till den senaste versionen för att förhindra att dina filer och data stjäls av dessa hackare. Internet och programvaran som använder det är tyvärr benägna att hacka och ransomware, och du måste hålla dig och dina tillgångar säkras genom att byta lösenord regelbundet, använda antivirusprogram och aktivera multifaktor autentisering.
Ändå, som MOVEit-intrånget visar, kan du göra allt detta, och ett team av hackare kommer att hitta ett utnyttjande som aldrig tidigare skådats.
