当地时间6月15日(周四)壳牌公司证实,Clop勒索软件团伙将这家英国石油和天然气跨国公司列在其勒索网站。据信该团伙利用MOVEit文件传输工具漏洞攻入了公司网络,该公司受到了影响。这是壳牌公司第二次受到针对文件传输服务的Clop勒索团伙的攻击。壳牌公司在全球拥有80,000多名员工,去年报告的收入超过3810亿美元。壳牌发言人告诉Recorded Future News:“我们知道网络安全事件影响了Progress的第三方工具MOVEit Transfer,少数壳牌员工和客户使用该工具。”他们强调“没有证据表明壳牌的核心IT系统受到影响”,并表示他们的IT团队继续调查此事件。“我们没有与黑客沟通,”发言人补充说。
另据CNN当地时间15日报道称,美国多个联邦机构也被黑客利用MOVEi零日漏洞攻破。据联邦新闻网报道,美国能源部 (DOE) 的两个实体也遭到入侵 。
受害者名单还在增加
Clop对MOVEit的黑客攻击在英国造成了许多受害者,包括BBC、英国航空公司和爱尔兰航空公司、药品零售商Boots,甚至是该国的通信监管机构Ofcom。
作为MOVEit工具的直接用户,壳牌和Ofcom在有限的设置中似乎受到的影响较小。Ofcom表示,在这次攻击中下载了“有限数量的信息”,尽管其中一些信息是机密的,并且与其监管的公司有关,还有412名Ofcom员工的个人数据。
然而,BBC、英国航空公司、Aer Lingus和Boots可能更容易受到MOVEit漏洞的影响,因为文件传输工具正被一家名为Zellis的第三方薪资服务供应商使用。
在首都运营公共交通的伦敦交通局也确认受到了该事件的影响。一位发言人告诉 Recorded Future News:“与英国的其他公司一样,我们的一家承包商最近遭遇了数据泄露。该问题已得到解决,IT系统已得到保护。有问题的数据不包括银行详细信息,我们正在写信给所有相关人员,让他们了解这一事件。”
据《每日电讯报》报道,伦敦交通局数据库中多达13,000名司机已收到警告,他们的个人数据在该事件中被盗,这影响了运营该市交通拥堵和停车收费计划的承包商。
BBC新闻报道称,专业服务公司EY也受到了影响。目前尚不清楚EY是否是Zelli的客户,或者他们是否直接使用MOVEit Transfer。两个已确认的Zellis用户——BBC和英国航空公司——已警告他们的所有员工,他们的数据可能已被盗。
使用MOVEi 跨部门共享文件的新斯科舍省政府也证实受到了影响,并在一份声明中表示,部分公民的个人信息可能已被泄露。然而,在其泄密网站上的一条消息中,Clop说,“如果你是政府、城市或警察部门……我们删除了你的所有数据。”
虽然袭击的全部范围仍然未知,但新的受害者不断挺身而出。
Clop周三(6月14日)列出了第一批据称利用MOVEit漏洞入侵的组织。受害者名单发布在Clop的暗网泄密网站上,其中包括总部位于美国的金融服务机构1st Source 和First National Bankers Bank;总部位于波士顿的投资管理公司Putnam Investments;位于荷兰的Landal Greenparks;和总部位于英国的能源巨头壳牌。据BleepingComputer报道,五家上市公司——英国跨国石油和天然气公司壳牌、佐治亚大学 (UGA) 和佐治亚大学系统 (USG)、UnitedHealthcare Student Resources (UHSR)、Heidelberger Druck 和 Landal Greenparks——已向BleepingComputer证实他们在袭击中受到影响。
有一个例外是GreenShield Canada公司,这家提供健康和牙科福利的非营利性福利承运商,曾被列在泄漏网站上,但已被删除。
其他受害者还包括金融软件提供商 Datasite;教育性非营利性国家学生信息交换所;学生健康保险提供商 United Healthcare Student Resources;美国制造商 Leggett & Platt;瑞士保险公司ÖKK等。
约翰霍普金斯大学本周证实了一起据信与MOVEit大规模黑客攻击有关的网络安全事件。该大学在一份声明中表示,数据泄露“可能影响了敏感的个人和财务信息”,包括姓名、联系信息和健康账单记录。
研究人员还报告说,Clop可能早在2021年就一直在利用MOVEit漏洞。美国风险咨询公司Kroll在一份报告中表示,虽然该漏洞在5月下旬才曝光,但其研究人员发现的活动表明Clop正在试验将近两年来利用此特定漏洞的方法。
Kroll研究人员说:“这一发现说明了大规模利用事件(例如MOVEit Transfer网络攻击)所涉及的复杂知识和计划。”
Secureworks Counter Threat Unit威胁研究主管Chris Yule表示,网络罪犯可能需要一些时间才能对付受害者。
“是否会有一个转储或滴灌还有待观察,[但]GoAnywhere 受害者是在14天内分批发布的,”Yule说。
“Clop发布的第一个名字包括许多美国金融服务公司。虽然上传刚刚开始,但我们预计受害者的其余部分可能位于美国,因为互联网上的大多数MOVEit服务器都位于美国。”
Picus Security的威胁研究员Hüseyin Can Yuceel表示,更慢地公布受害者的详细信息可能会迫使其他人支付赎金,很明显,Clop 的威胁并不是虚张声势。