多作なランサムウェア 操作は古いトリックと新しい犠牲者で戻ってきました。
16 州に 80 近くの病院を持つ米国最大の医療機関の 1 つである Community Health Systems (CHS) は今週、犯罪者のハッカーが最大 100 万人の患者の個人情報や保護された健康情報にアクセスしたことを確認しました。
テネシーに本拠を置くヘルスケアの巨人は、 政府規制当局への提出 データ侵害は、Fortra (以前は ヘルプシステム)は、大規模なデータ セットを安全に共有および送信するために大企業によって導入されています。 Community Health Systems は、Fortra が最近、患者データの無許可の開示につながったセキュリティ インシデントについて通知したと述べました。
「Fortra が経験したセキュリティ侵害の結果、Fortra の攻撃者によって、保護されていた会社の関連会社の特定の患者の医療情報と個人情報が公開された」と、Community Health Systems の提出書類によると、 DataBreaches.net. ヘルスケアの巨人は、個人情報の盗難防止サービスを提供し、情報が漏洩した影響を受けたすべての個人に通知すると付け加えたが、患者ケアの提供に重大な中断はなかったと述べた.
CHS は公開されたデータの種類を明らかにしておらず、広報担当者は TechCrunch の質問にまだ回答していません。 これは、CHS が患者データを漏えいした事例として、ここ数年で 2 例目です。
ロシアに関連するランサムウェア ギャング Clop は、新たなハッキング キャンペーンで新しいゼロデイを悪用した責任を負っていると伝えられており、CHS を含む Fortra のファイル転送技術を使用する 100 以上の組織にすでに侵入したと主張しています。
CHS は被害者としてすぐに名乗り出ましたが、Clop の主張は、影響を受ける組織が他にも数十ある可能性があることを示唆しています。 ありがたいことに、セキュリティの専門家は、ゼロデイとゼロデイから保護するためにできることに関する多くの情報を共有してくれました。
GoAnywhere の脆弱性とは何ですか?
Fortra の GoAnywhere ソフトウェアのゼロデイ脆弱性の詳細 — として追跡 CVE-2023-0669 — 2 月 2 日にセキュリティ ジャーナリストの Brian Krebs によって最初に報告されました。 マストドン、Krebs は、公開 Web サイトからアクセスできない Fortra のセキュリティ アドバイザリの全文を共有しました。 むしろ、ユーザーは脆弱性レポートにアクセスするために Fortra アカウントを作成する必要がありましたが、これはサイバーセキュリティの専門家から厳しく批判されています。
「ゼロデイ リモート コード インジェクション エクスプロイトが GoAnywhere MFT で確認されました」と、Fortra は非表示のアドバイザリで述べています。 「このエクスプロイトの攻撃ベクトルには、アプリケーションの管理コンソールへのアクセスが必要です。ほとんどの場合、これはプライベート企業のネットワーク内から、VPN を介して、または許可リストに登録された IP アドレスによってのみアクセスできます (クラウド環境で実行されている場合、 Azure または AWS)」
で テクニカル分析 サイバーセキュリティ企業の Rapid7 は、2 月 7 日に公開されたこの脆弱性について、企業が GoAnywhere を通じて送信するデータの機密性を考慮すると、このバグの悪用可能性と攻撃者にとっての価値を「非常に高い」と述べています。
セキュリティ研究者は、この脆弱性を、GoAnywhere と同様に、組織が機密データ セットを安全に共有できるようにする Accellion の現在は廃止されたレガシー ファイル転送アプライアンス (FTA) に影響を与える以前のゼロデイ欠陥に例えました。 Clop ランサムウェア ギャングは、2020 年に Accellion の欠陥を悪用して、Qualys、Shell、コロラド大学、Kroger、Morgan Stanley などの多くの組織に侵入していたことが判明しました。
Clop ランサムウェア ギャング (最近、新しい Linux 亜種で話題になった) は、次のように述べています。 ビープ音を鳴らすコンピュータ すでに GoAnywhere の脆弱性を悪用して、130 を超える組織からデータを盗んでいるとのことです。 Clop はその主張の証拠を提供しておらず、この記事の執筆時点では、Clop のダーク Web リーク サイトは Fortra や GoAnywhere について言及していません。
Fortra は TechCrunch の質問に答えなかった。
私は心配する必要がありますか?
GoAnywhere 脆弱性の悪用可能性に関する懸念は、誇張されていません。
サイバーセキュリティ会社のハントレスが報告 先週 GoAnywhere ゼロデイの悪用を伴う、顧客のネットワークへの侵入を調査したこと。 ハントレスは、この侵入を「サイレンス」と呼ばれるロシア語を話す脅威アクターと関連付けました。このグループは、TA505 と呼ばれる別のグループとリンクしています。TA505 は、少なくとも 2016 年から活動しており、展開を含む標的型キャンペーンで知られているハッキング犯罪集団です。 Clop ランサムウェア。
「観測されたアクションと以前のレポートに基づいて、ハントレスが観測したアクティビティはランサムウェアの展開を意図したものであり、同じ目的で GoAnywhere MFT の日和見的なエクスプロイトが行われる可能性があると、ある程度の確信を持って結論付けることができます。」ハントレス。
ハントレスは、脆弱性が単純であることもあり、GoAnywhere ゼロデイの悪用が活発に行われている現在、「より広範な活動」が見られると予想していると述べています。
セキュリティパッチが利用可能
フォートラ 緊急パッチをリリースしました — バージョン 7.1.2 — 2 月 7 日、GoAnywhere のすべてのお客様にできるだけ早く修正を適用するよう促しました。 「特に、インターネットに公開された管理ポータルを実行している顧客にとって、これは緊急の問題であると考えています」と同社は述べています。
一方、米国のサイバーセキュリティ機関である CISA は、GoAnywhere の欠陥を 悪用された既知の脆弱性の公開カタログ そして注文しました すべての連邦文民行政機関 3 月 3 日までにシステムにパッチを適用する必要があります。