Хакерская группировка Clop утверждает, что стоит за кибератаками, которые использовали уязвимость «нулевого дня» в инструменте безопасной передачи файлов GoAnywhere MFT.

Хакеры сообщили изданию BleepingComputer, что за 10 дней взломали сервера и украли данные более 130 организаций. Они также утверждают, что могут перемещаться по сетям жертв и развертывать программы-вымогатели для шифрования систем, но отказались от этого, украв только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT. Группировка не предоставила никаких доказательства проникновения и краж и не дала изданию BleepingComputer дополнительных комментариев. Не ответил на запросы журналистов и производитель инструмента, компания Fortra.

Уязвимость CVE-2023-0669 в системе безопасности инструмента позволяет злоумышленникам удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.

Компания Fortra, производитель GoAnywhere MFT, ранее сообщила, что эта уязвимость активно эксплуатировалась как уязвимость «нулевого дня». В экстренном порядке были выпущены несколько обновлений безопасности, Fortra также предоставила индикаторы компрометации для потенциально затронутых клиентов.

Компания сообщила, что неизвестные получили доступ к ее системам с помощью ранее неизвестного эксплойта и создали неавторизованные учетные записи пользователей. Из соображений безопасности произведено временное отключение скомпрометированных служб, ведется расследование инцидента. Проводится восстановление и проверка систем для каждого отдельного клиента с целью смягчения последствий кибератаки.

Менеджер Huntress Threat Intelligence Джо Словик связал атаки на GoAnywhere MFT с хакерской группировкой TA505, которая ранее развертывала вымогатель Clop, используя загрузчик вредоносных программ TrueBot.

CISA внесла уязвимость CVE-2023-0669 GoAnywhere MFT в каталог известных эксплуатируемых уязвимостей, все федеральные агентства США должны обновить свои системы до 3 марта 2023 г.

Инструмент GoAnywhere MFT используется крупными компаниями и учебными заведениями США. Поисковая система Shodan находит более одной тысячи экземпляров GoAnywhere в сети, однако только 135 из них подключены к портам 8000 и 8001, которые используются уязвимой консолью администратора.

14 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.11.2024
Расходы на российские софт и хард зачтут с двойным коэффициентом
11.11.2024
Минцифры (не) меняет правила. Как поправки играют сразу в обе стороны
11.11.2024
RED Security: ИБ стала обязательным элементом устойчивого развития бизнеса
11.11.2024
Консорциум для исследований безопасности ИИ-технологий принял сразу четыре новые организации
11.11.2024
Русы и персы. Первая стадия интеграции «Мир» и Shetab запущена
08.11.2024
В Совфеде прошёл круглый стол на тему страхования киберрисков при утечке ПДн
08.11.2024
Сняться ли австралийцам бенгалы? ВПО атакует кошатников
08.11.2024
Французская компания стала жертвой хакеров. Те требуют выкуп в «багетах»
08.11.2024
Standard Bank признал вину в утечке данных клиентов
08.11.2024
Ideco: За два года российский рынок NGFW показал шестикратный рост

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных