Хакерская группировка Clop утверждает, что стоит за кибератаками, которые использовали уязвимость «нулевого дня» в инструменте безопасной передачи файлов GoAnywhere MFT.

Хакеры сообщили изданию BleepingComputer, что за 10 дней взломали сервера и украли данные более 130 организаций. Они также утверждают, что могут перемещаться по сетям жертв и развертывать программы-вымогатели для шифрования систем, но отказались от этого, украв только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT. Группировка не предоставила никаких доказательства проникновения и краж и не дала изданию BleepingComputer дополнительных комментариев. Не ответил на запросы журналистов и производитель инструмента, компания Fortra.

Уязвимость CVE-2023-0669 в системе безопасности инструмента позволяет злоумышленникам удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.

Компания Fortra, производитель GoAnywhere MFT, ранее сообщила, что эта уязвимость активно эксплуатировалась как уязвимость «нулевого дня». В экстренном порядке были выпущены несколько обновлений безопасности, Fortra также предоставила индикаторы компрометации для потенциально затронутых клиентов.

Компания сообщила, что неизвестные получили доступ к ее системам с помощью ранее неизвестного эксплойта и создали неавторизованные учетные записи пользователей. Из соображений безопасности произведено временное отключение скомпрометированных служб, ведется расследование инцидента. Проводится восстановление и проверка систем для каждого отдельного клиента с целью смягчения последствий кибератаки.

Менеджер Huntress Threat Intelligence Джо Словик связал атаки на GoAnywhere MFT с хакерской группировкой TA505, которая ранее развертывала вымогатель Clop, используя загрузчик вредоносных программ TrueBot.

CISA внесла уязвимость CVE-2023-0669 GoAnywhere MFT в каталог известных эксплуатируемых уязвимостей, все федеральные агентства США должны обновить свои системы до 3 марта 2023 г.

Инструмент GoAnywhere MFT используется крупными компаниями и учебными заведениями США. Поисковая система Shodan находит более одной тысячи экземпляров GoAnywhere в сети, однако только 135 из них подключены к портам 8000 и 8001, которые используются уязвимой консолью администратора.

14 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

21.06.2024
ЛК: Решение Минторга США способствует развитию киберпреступности
21.06.2024
Минпромторг: Нужно сфокусироваться на защищённых мобильных ОС
21.06.2024
От соцсетей до сайтов госорганов. Минцифры снимает маски с фишеров
21.06.2024
Прокуратура создаёт неприятный для телеком-компаний прецедент
21.06.2024
Тульская компания обворована после целенаправленной фишинговой атаки
20.06.2024
Хакер IntelBroker собирает внушительное «бизнес-портфолио»
20.06.2024
ФАС: Запрет пока не применим к интеллектуальной собственности
20.06.2024
Япония прокладывает скоростную трассу в мир телемедицины и VR
20.06.2024
НСПК подверглась DDoS-атаке. Отмечаются перебои с транзакциями
19.06.2024
Технологический суверенитет: инновации, импортозамещение, кадры

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных