Хакерская группировка Clop утверждает, что стоит за кибератаками, которые использовали уязвимость «нулевого дня» в инструменте безопасной передачи файлов GoAnywhere MFT.

Хакеры сообщили изданию BleepingComputer, что за 10 дней взломали сервера и украли данные более 130 организаций. Они также утверждают, что могут перемещаться по сетям жертв и развертывать программы-вымогатели для шифрования систем, но отказались от этого, украв только документы, хранящиеся на скомпрометированных серверах GoAnywhere MFT. Группировка не предоставила никаких доказательства проникновения и краж и не дала изданию BleepingComputer дополнительных комментариев. Не ответил на запросы журналистов и производитель инструмента, компания Fortra.

Уязвимость CVE-2023-0669 в системе безопасности инструмента позволяет злоумышленникам удаленно выполнять код на неисправленных экземплярах GoAnywhere MFT, когда их административная консоль открыта для доступа в Интернет.

Компания Fortra, производитель GoAnywhere MFT, ранее сообщила, что эта уязвимость активно эксплуатировалась как уязвимость «нулевого дня». В экстренном порядке были выпущены несколько обновлений безопасности, Fortra также предоставила индикаторы компрометации для потенциально затронутых клиентов.

Компания сообщила, что неизвестные получили доступ к ее системам с помощью ранее неизвестного эксплойта и создали неавторизованные учетные записи пользователей. Из соображений безопасности произведено временное отключение скомпрометированных служб, ведется расследование инцидента. Проводится восстановление и проверка систем для каждого отдельного клиента с целью смягчения последствий кибератаки.

Менеджер Huntress Threat Intelligence Джо Словик связал атаки на GoAnywhere MFT с хакерской группировкой TA505, которая ранее развертывала вымогатель Clop, используя загрузчик вредоносных программ TrueBot.

CISA внесла уязвимость CVE-2023-0669 GoAnywhere MFT в каталог известных эксплуатируемых уязвимостей, все федеральные агентства США должны обновить свои системы до 3 марта 2023 г.

Инструмент GoAnywhere MFT используется крупными компаниями и учебными заведениями США. Поисковая система Shodan находит более одной тысячи экземпляров GoAnywhere в сети, однако только 135 из них подключены к портам 8000 и 8001, которые используются уязвимой консолью администратора.

14 февраля, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных