Organisationer manas installera MOVEit servicepaket efter att fler sårbarheter upptäckts
Utfallet från Progress Softwares MOVEit filöverföringsapplikation fortsätter efter att Clop ransomware gang fortsatt exponerar offers konfidentiella data. Särskilt fortsätter Progress upptäcka och annonsera vidare sårbarheter i dess produkt, vissa av vilka aktivt utnyttjas.
Progress har släppt den första i en serie schemalagda servicepaket för båda MOVEit och Moveit Automation.
Det inledande paketet inkluderar lösningar för tre nyligen avslöjade Common Vulnerabilities and Exposure (CVEs), listade i numerisk ordning följande:
CVE-2023-36932 – flertalet SQL injektions svagheter inom MOVEit Transfers webbapplikationer, ger potentiellt faktiska angripare tillgång till MOVEit Transfers databas.
CVE-2023-36933 – en defekt som underlättar för en angripare att frammana en process vilket resulterar i ett icke-managerat undantag, vilket leder till ett oväntat avslut av MOVEit Transfer processen.
CVE-2023-36934 – en till SQL injektionssårbarhet som liknar den första.
Hittills har MOVEit incidenten påverkat 300 offer och troligen berört data från ungefär 17 miljoner individer. Offren är globalt spridda, där största antalet är i USA med totalt över 190st, följt av Tyskland med 28, Canada med 21 och 17 i Storbritannien, noterbart är att detta inkluderar flera entiteter med hög profil så som BBC, Boots och British Airways.
Organisationer som nyligen blivit ”named and shamed” av Clop ransomwares operation omfattar fastighetsorganisationen Jones Lang LaSalle, hotelljätten Radisson och GPS experten TomTom.
Fortescue Metals, en australiensk järnmalms gruvfirma, har blivit utsatta för en cyberattack där det ryska ransomwarekollektivet C10p tar på sig ansvaret. Gruvfirman har konfirmerat att ett intrång, vilket dem kallar ”lågpåverkande cyberincident”, inträffade den 28:e Maj.
Enligt ett uttalande från Fortescue har datan som avslöjades inte varit av konfidentiell natur, vilket ledde till en exponering av ett mindre segment data från deras nätverk. Äktheten av C10ps påståenden gällande intrånget är fortsatt overifierat.
I enlighet med gängets vanliga modus operandi så tillrättavisade dem företaget genom uttalandet ”Företaget bryr sig inte om dess kunder, dem ignorerade sin säkerhet!!!”. En fras dem vanligen använder för deras påstådda cyberattacker.
Hittills har inga av Fortescues filer eller data avslöjats, vilket ger världens fjärde största exportör av järnmalm möjligheten att diskutera en potentiell lösensumma.
Enligt en studie av Check Point Research (CPR) har antalet registrerade cyberattacker nått en högsta topp på två år i Q2 2023, detta till en ökad aktivitet från hacktivist- och ransomwaregrupper. Rapporten visar på en ökning på 8% i attackfrekvens, där organisationer globalt utstår ett genomsnitt på 1258 attacker i veckan.
Utbildning- och forskningssektorerna, trots att dem uthärdar färre attacker än tidigare år, är fortsatt den mest utsatta i Q2. Storbritanniens akademiska institutioner är speciellt påverkade i 2023, där University of Manchester upplevde ett stort inkräktande i juni som äventyrade forskningsdata från över 1.1 miljoner NHS patienter.
Sjukvårdssektorn, ett konstant mål för cyberkriminella, bevittnade om en substantiell attackökning från år för år under andra kvartalet, med ett genomsnitt på 1744 attacker i veckan, en 30% ökning från tidigare år. ALPHV ransomwaregruppen attackerade nyligen Barts NHS fond och påstår sig ha stulit över 70 terabytes av data, vilket utgör det största dataintrånget inom sjukvården i Storbritannien hittills.
Högprofilerade ransomwaregrupper har också fått ett återuppvaknande med alternativa analyser från Flashpoint, vilket tyder på att LockBit och C10p ensamma stått för nästan 40% av alla registrerade ransomwareattacker i juni, och har riktat in sig på nästan hälften av alla USA-baserade organisationer.
C10p tar på sig ansvaret för MOVEit supply chain attack, vilket har haft en dominoeffekt på organisationer globalt, inkluderat British Airways, Boots och BBC. Samtidigt har LockBit fortsatt sin aggressiva tendens, vilket har inkluderat en attack mot en taiwanesisk chiptillverkare, TSMC’s tredjeparts leverantör.
Förbisedda eller saknad sårbarhetsavslöjande utgör ett annat problem, med 395 av 1828 nya sårbarheter i juni som missats av Common Vulnerability Exposures (CVE) program. Över en tredjedel av dessa missade avslöjanden klassificerades med hög eller kritisk sårbarhet, visar på en signifikant risk till organisationer.
I måndags annonserade Tomra, ett norskt företag inom återvinning, gruvdrift och livsmedel sektorerna, att dem blivit utsatta för en vidspridd cyberattack.
Företagets datasystem har blivit direkt utsatta för cyberattacken. Tomra konfirmerade att relevanta auktoriteter blivit informerade och att dem är under arbetar både internt och externt för att hantera och neutralisera situationen. Intrånget upptäcktes på morgonen den 16:e juli och steg togs direkt för att stoppa och minimera konsekvenserna.
I ett uttalande sa företaget att vissa system snabbts kopplats ned för att minska cyberattackens spridning. Företaget bedömer i nuläget om stabiliteten i dess tjänster för kunder och anställda påverkats.
Medan Tomra inte svarat på om det var en ransomwareattack har företagets primära mål varit att återställa alla dess system. Hittills har ingen cyberkriminell grupp tagit på sig ansvaret för attacken.
Tomra är kända för dess automatiserade verktyg, speciellt maskiner som samlar in metall, plast och glasflaskor för återvinning. Företaget bidrar väsentligt inom avfall- och metallåtervinning, gruvdrift och livsmedelproduktion.
Om incidenten faktiskt är en ransomwareattack så bidrar den till listan över liknande attacker där gruvdrift- och livsmedelsindustrier varit målen. Över det gångna året har företag så som Copper Mountain Mining, Dole, Sysco, Mondelez, Americold, Maple Leaf Foods och varierade snabbmatskedjor blivit utsatta för attacker. Det var 52 ransomwareattacker på försörjningskedjorna inom livsmedel- och dryckersektorn i 2022.
På tisdagen avslöjade Estée Lauder (EL.N), ett kosmetikaföretag, att en cyberkriminell hade fått tillgång till en del av deras data, vilket orsakat pågående störningar i delar av företagets affärsverksamhet.
Estée Lauder sa att dem tar dem nödvändiga stegen för att återställa dem påverkade systemen och förstärka dem. Som en del av den direkta responsen togs vissa system ned för att begränsa påverkan av cyberincidenten. Naturen och omfattningen av den komprometterade datan är under utredning, men ingen tilläggning av detaljer kring affärsverksamhetens påverkan har getts ut.
Detta cyberinbrott dyker upp vid en kritisk tidpunkt för företaget, vilket tidigare projekterat en lägre än väntat försäljning och vinst för maj i detta år, med hänvisning till trög återhämtning i taxfree- och reseplatser, särskilt i Asien.
I dess officiella uttalande konfirmerade dem att de har engagerat brottsbekämpande organ samt cybersäkerhetsspecialister i respons till incidenten. Identiteten av hackaren eller hackergruppen involverat har ej avslöjats.
Om du är orolig för något av hoten som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten som din organisation står inför, kontakta din kontoansvarige alternativt ta kontakt för att ta reda på hur du kan skydda din organisation.
The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.
If you are worried about any of the threats outlined in this roundup or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager or fill in the form for a complimentary no-commitment consultation.
If you’d like more detailed threat intelligence news, Integrity360 offers this as part of our security monitoring managed services.
We also offer a tailored threat intelligence monitoring service for your organisation that actively monitors for threat actors and campaigns of direct relevance to your organisation, brand damage, copycat & spoofed domains, credential leakage and dark web monitoring.
Join us in Dublin or London for the Security First 2022 conference. We'll be bringing together industry professionals and specialist experts to discuss the latest cyber security trends and offer actionable advice on preparing your business to put security first in 2022.