La violazione MOVEit è uno dei più grandi attacchi ransomware del 2023 e ha colpito milioni di persone in tutto il mondo.

Punti chiave

  • La violazione MOVEit, effettuata dal gruppo ransomware Clop, è uno dei più grandi attacchi hacker del 2023, colpendo 2.659 organizzazioni e 67 milioni di persone.
  • La violazione ha sfruttato le vulnerabilità zero-day dell’applicazione MOVEit, consentendo agli aggressori di accedere ai dati sensibili archiviati dalle organizzazioni che utilizzano il software.
  • Il settore dell’istruzione è stato pesantemente colpito dalla violazione, con università come la John Hopkins e la Webster University tra quelle prese di mira. Altri settori colpiti includono la sanità, la finanza e gli affari.

Sei una delle 62 milioni di persone colpite dalla violazione MOVEit? La violazione MOVEit è uno dei più grandi attacchi hacker del 2023, con il gruppo ransomware Clop che ha riscattato migliaia di organizzazioni e si è aggiudicata decine di milioni di dollari.

Allora, cos’è l’attacco ransomware MOVEit e in che modo ha colpito così tante persone?

instagram viewer

Cos'è MOVEit?

MOVEit è un software e un servizio di trasferimento file sicuro sviluppato da Progress Software, progettato per facilitare il trasferimento sicuro di dati sensibili tra organizzazioni e individui. MOVEit è utilizzato da aziende, organizzazioni governative, università e praticamente qualsiasi entità che archivia e gestisce i propri dati, consentendo alle aziende di trasferire file e dati in modo sicuro per proteggerli da accessi non autorizzati o violazioni.

Tuttavia, nel maggio 2023, ciò ha smesso di essere così quando il gruppo ransomware Clop ha violato migliaia di dati di organizzazioni che utilizzavano MOVEIt per i propri dati.

Come è avvenuta la violazione di MOVEit?

Nel maggio 2023, il famigerato gruppo ransomware Clop ha sfruttato numerose vulnerabilità zero-day nell’applicazione MOVEIt.

Una vulnerabilità zero-day è una falla nella sicurezza del software sconosciuta al fornitore o al pubblico e sfruttata dagli aggressori prima che sia disponibile una correzione o una patch. Le vulnerabilità zero-day sono particolarmente pericolose perché potrebbero essere sfruttate di nascosto all'insaputa del fornitore per un periodo molto lungo.

Alla fine Progress Software ha risolto queste vulnerabilità, ma era già troppo tardi. Nel periodo in cui la vulnerabilità era sconosciuta al pubblico e ai fornitori, gli aggressori hanno avuto accesso e violato i dati di migliaia di organizzazioni che utilizzavano MOVEit per gestire e trasferire i propri dati.

Credito immagine: rawpixel.com/Freepik

Il gruppo ransomware Clop ha scoperto diverse vulnerabilità SQL injection nell'applicazione MOVEit, consentendo loro di accedere al database delle organizzazioni e scaricare e visualizzare i dati. L'SQL injection è una vulnerabilità dove il codice SQL dannoso viene inserito nei campi di input, sfruttando le vulnerabilità in un'applicazione supportata da database. Il codice non autorizzato può manipolare il database, esponendo o alterando potenzialmente informazioni riservate.

Le vulnerabilità SQL injection sono registrate come CVE-2023-34362, CVE-2023-35036 e CVE-2023-35708 e sono state corrette rispettivamente il 31 maggio 2023, 9 giugno 2023 e 15 giugno 2023. Tutte le versioni dell'applicazione di trasferimento MOVEit erano vulnerabili a queste vulnerabilità. Se sfruttato, consente a un utente malintenzionato non autenticato di accedere al contenuto del database di trasferimento MOVEIt dell'organizzazione. Ciò significa che l'aggressore può scaricare, alterare o addirittura eliminare i database senza alcuna restrizione.

L'impatto della violazione MOVEit

Secondo l'analisi di Emisoft e statistiche relative alla violazione dei dati MOVEit, al 9 novembre 2023, 2.659 organizzazioni sono state colpite dalla violazione MOVeit, e oltre 67 milioni di persone sono state colpite da organizzazioni con sede principalmente negli Stati Uniti, Canada, Germania e Regno Unito.

L’istruzione è il settore più colpito, con i dati di numerose università sottratti da questi aggressori. Le organizzazioni educative interessate da questa violazione includono il sistema scolastico pubblico di New York City, John La Hopkins University, l'Università dell'Alaska e la Webster University, tra le altre, sono famose università. Altri settori fortemente colpiti da questa violazione includono il settore sanitario, le banche, le istituzioni finanziarie e le imprese.

Alcune delle organizzazioni più note colpite dal ransomware MOVEit includono BBC, Shell, Siemens Energy, Ernst &Young e British Airways.

Il 25 settembre 202, il principale servizio di registro prenatale, neonatale e infantile,NATO in Ontario, ha rilasciato una dichiarazione sulla violazione di MOVEit rivelando che sono stati colpiti dalla violazione di MOVEit. Secondo il loro rapporto, la vulnerabilità MOVEit ha consentito ad attori di terze parti dannosi non autorizzati di accedere e copiare file informazioni sanitarie personali contenute nei registri BORN Ontario, che erano stati trasferiti utilizzando il software di trasferimento file sicuro.

In risposta, Born Ontario ha immediatamente isolato il sistema, ha disattivato il server interessato e ha lanciato un'applicazione indagine, collaborando con esperti di sicurezza informatica per accertare la gravità e quali dati specifici fossero rubato.

Molte di queste organizzazioni sono state attaccate non perché utilizzassero l'applicazione MOVEit ma perché fornitori di terze parti patrocinati che hanno utilizzato l'applicazione di trasferimento MOVEit, portandoli a ottenere anch'esso violato. È una situazione simile per altre organizzazioni, che costa miliardi di dollari in pagamenti di ransomware e altre soluzioni di sicurezza.

Sei stato interessato dalla violazione MOVEit. E dopo?

Se utilizzi ancora MOVEit, aggiornalo immediatamente alla versione più recente per evitare che i tuoi file e dati vengano rubati da questi hacker. Internet e il software che lo utilizza sono purtroppo soggetti ad attacchi hacker e ransomware e devi mantenerti e le tue risorse vengono protette modificando regolarmente le password, utilizzando software antivirus e abilitando la funzionalità multifattore autenticazione.

Tuttavia, come dimostra la violazione di MOVEit, è possibile fare tutto questo e un team di hacker troverà un exploit mai visto prima.