自5月底MOVEit零日漏洞被曝光以来,Clop集团(Now how you’re gonna act)一直在安全新闻中占据著主导地位。本周,Clop如其所言,开始在其黑暗网站上泄露受害者的名字,以增加施压以迫使受害者支付勒索金。而在周四,MOVEit攻击事件更是引起了全国媒体的关注,CNN报导多个联邦机构受到攻击,虽然CISA并未确认袭击背后的集团。这场攻击的初期仍在继续,随著受害者的增多,企业将面临艰难的决策。
为了应对这一扩散的勒索攻击,以下是安全团队可以采取的五个步骤,以更好地管理这次勒索行动并为未来的类似事件做准备:
如果组织目前还在运行MOVEit Transfer或MOVEit Cloud,建议考虑暂时关闭这些应用。上周发现了附加漏洞CVE202334362,这导致了新的软体修补。Progress Software的调查仍在进行中,因此,安全团队应根据实际情况考虑暂停使用这些应用程序,以降低风险,保持安全至上。
shadowrocket小火箭需要进行关键性的决策,而如果安全团队对其潜在暴露不够了解,可能会做出错误判断。公司在MOVEit实例中储存了什么数据?该数据是否被外泄?这些数据的敏感程度如何?是否涉及受管制的数据或敏感的知识产权?这次数据泄露对Clop网站上数据的法律和监管影响为何?组织是否持有第三方的敏感数据?哪些第三方合作伙伴使用MOVEit?这部分的风险暴露如何?与关键供应商联系并确认其暴露情况,这些问题的不完整回答将对高层的决策过程造成极大的约束。
对于是否屈从于敲诈要求,需要评估风险并做出商业决策。首先,了解组织的风险暴露。如果安全团队能够确认没有敏感数据在暴露范围内,则可以选择无视这次勒索要求。若Clop窃取了敏感数据,则问题变得更加复杂。为了得到答案,需与内外部法律顾问、高层管理、董事会、公共关系、执法机构以及可能的监管机构进行沟通。权衡暴露公司数据的风险与Clop是否可能会毁坏数据的情况在盗贼中无笃信可言,以及排除未来可能会再遭攻击的风险。
Clop在这些攻击活动中取得了惊人的成功例如Accellion和GoAnywhere,这不会是它最后一次利用零日漏洞攻击受管理的文件传输 (MFT) 软体。下次攻击可能针对组织用于交换敏感文件的产品。因此,及时加强和限制公司档案
