Microsoft: ransomwaregroep achter zeroday-aanval op MOVEit Transfer

[Captain Kirk]

De criminelen achter de Clop-ransomware, waar de Universiteit Maastricht slachtoffer van werd, zitten ook achter de zeroday-aanvallen via een kwetsbaarheid in MOVEit Transfer, zo claimt Microsoft. Eerder maakte de groep ook gebruik van zerodays Fortra GoAnywhere en Accellion File Transfer Appliance (FTA), en een bekende kwetsbaarheid in PaperCut, voor het stelen van gegevens. Vervolgens worden de organisaties met de gestolen data afgeperst.

GoAnywhere, FTA en MOVEit Transfer zijn applicaties voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. PaperCut levert een printmanagementserver waarmee organisaties allerlei printgerelateerde zaken kunnen beheren, zoals het inzien van het aantal geprinte pagina's, beheer van print queues, toevoegen van watermerken en access control.

Maken ransomwaregroepen vaak gebruik van bekende kwetsbaarheden voor het aanvallen van organisaties, in het geval van GoAnywhere, FTA en MOVEit Transfer werden zerodays ingezet, waarvoor op het moment van de aanvallen nog geen update voor beschikbaar is. De aanvallen gericht op GoAnywhere en FTA zorgden voor een explosie aan datalekken. Hoeveel organisaties door de zeroday in MOVEit Transfer zijn getroffen is nog niet bekend.

 

bron: https://www.security.nl