Cyberthreat.id – Memasuki minggu ketujuh peretasan transfer file MOVEit, jumlah korban dan biaya terus meningkat karena dampak dari serangan rantai pasokan besar-besaran geng ransomware Rusia, Clob.

Pada akhir Mei, geng ransomware Rusia, Clop, mengeksploitasi lubang keamanan di rangkaian produk MOVEit Progress Software untuk mencuri dokumen dari jaringan yang rentan.

Sampai hari ini, jumlah organisasi yang terkena dampak ditutup pada 400 dan termasuk beberapa nama besar: Departemen Energi AS dan agen federal lainnya.

Korban lainnya adalah perusahaan besar seperti perusahaan energi Shell, Deutsche Bank, perusahaan konsultasi dan layanan bisnis PwC, dan raksasa ritel TJX Companies, yang mengkonfirmasi kepada The Register bahwa "beberapa file diunduh oleh pihak ketiga yang tidak sah sebelum Progress memberi tahu kami tentang kerentanan tersebut."

TJX memiliki beberapa merek ritel termasuk TJ Maxx, Marshalls, HomeGoods, HomeSense, dan Sierra.

Meskipun menjadi salah satu perusahaan yang dikompromikan, juru bicara TJX menambahkan: "Kami tidak percaya ada akses tidak sah ke pelanggan mana pun atau informasi pribadi rekanan di sistem TJX atau dampak material apa pun ke TJX."

Pada 19 Juli, 383 organisasi dan lebih dari 20 juta individu telah disusupi, menurut peneliti keamanan siber Emsisoft, yang mendapatkan angkanya dari pemberitahuan pelanggaran, pengajuan SEC, data publik lainnya, dan situs kebocoran Clop.

Namun, seperti yang dicatat oleh tim infosec, beberapa perusahaan yang penginstalan MOVEitnya dilanggar menyediakan layanan ke banyak organisasi lain.

Contoh kasus: Clop mengeksploitasi penyebaran MOVEit yang digunakan oleh penyedia layanan penggajian Zellis yang pelanggannya antara lain termasuk British Airways, BBC, dan rantai farmasi Boots di Inggris, dan akibatnya perusahaan-perusahaan ini semua melihat catatan karyawan mereka dicuri oleh geng Rusia melalui cacat perangkat lunak.

Dan, seperti yang dilaporkan Emsisoft, pengguna MOVEit lainnya – National Student Clearinghouse – bermitra dengan lebih dari 3.500 sekolah di AS dan memproses informasi milik 17,1 juta siswa.

Jadi kemungkinan jumlah korban akan terus bertambah.

"Meskipun ini mungkin tidak berada di liga yang sama dengan insiden SolarWinds, namun ini adalah salah satu peretasan paling signifikan dalam beberapa tahun terakhir," kata Emsisoft Threat Analyst Brett Callow kepada The Register.

"Biayanya akan sangat besar, termasuk pemantauan kredit untuk jutaan dan tuntutan hukum dari wazoo."

Progress Software menghadapi beberapa tuntutan hukum yang mengklaim keamanan yang buruk menyebabkan bug MOVEit – setidaknya 13, menurut The Wall Street Journal.

"Lebih buruk lagi, potensi penyalahgunaan informasi yang dicuri itu signifikan," tambah Emsisoft.

"Dan bukan hanya bagaimana Clop dapat menyalahgunakan informasi yang menjadi perhatian. Setelah dirilis secara online, itu menjadi tersedia bagi komunitas global penjahat dunia maya untuk digunakan dalam skema BEC, penipuan identitas, dll."

Progress Software menolak berkomentar tentang berapa banyak organisasi yang telah terpengaruh oleh bug MOVEit.

"Kami tetap fokus untuk mendukung pelanggan kami dan laporan ini menunjukkan bahwa pembaruan yang sering dan transparan telah membantu dalam mendorong pelanggan untuk segera menerapkan perbaikan yang telah kami rilis," kata seorang juru bicara kepada The Register.

"Kami terus bekerja sama dengan pakar keamanan dunia maya terkemuka di industri untuk menyelidiki masalah ini dan memastikan kami mengambil langkah-langkah tanggapan yang tepat."

Juru bicara menambahkan: "Sepengetahuan kami saat ini, tidak ada kerentanan yang ditemukan setelah kerentanan 31 Mei telah dieksploitasi secara aktif."

Garis waktu yang sangat bermasalah

Bug 31 Mei – kerentanan injeksi SQL – adalah yang pertama. Kemajuan ditambal yang satu ini, dilacak sebagai CVE-2023-34362, keesokan harinya. Bug kedua, CVE-2023-35036, terungkap pada 9 Juni, dan juga ditambal keesokan harinya.

Kemajuan mengungkapkan lubang ketiga, CVE-2023-35708, pada 15 Juni.

Akhirnya (kami harap), tiga kerentanan tambahan – CVE-2023-36934, CVE-2023-36932, dan CVE-2023-36933 – ditemukan dan diperbaiki pada 5 Juli.

Meskipun jumlah korban meningkat, organisasi yang rentan melakukan pekerjaan yang layak untuk memulihkan bug MOVEit, menurut perusahaan pemeringkat keamanan siber Bitsight.

Sejak pengungkapan 31 Mei, "jumlah organisasi yang rentan terhadap CVE-2023-34362 telah turun sehingga setidaknya 77 persen dari organisasi yang awalnya terpengaruh tidak lagi rentan," tulis peneliti Bitsight Noah Stone dalam blog Kamis.

"Paling banyak 23 persen dari organisasi yang terkena dampak awal masih rentan sementara tingkat kerentanan yang lebih tinggi ada di antara CVE selanjutnya."

Mungkin tidak mengherankan, lebih banyak organisasi yang masih rentan terhadap tiga bug terbaru yang diungkapkan awal bulan ini.

"Paling banyak 56 persen organisasi yang awalnya terpengaruh oleh kumpulan CVE terbaru... tetap rentan," kata Stone.

Pemburu ancaman di Huntress menemukan bug MOVEit kedua, dan peneliti keamanan senior perusahaan, John Hammond, mengatakan jenis serangan rantai pasokan ini semakin menarik bagi para penjahat karena memberikan lebih banyak keuntungan.

"Apakah itu serangan seperti contoh Transfer MOVEit ini, atau bahkan intrusi berdampak tinggi di masa lalu seperti insiden ransomware Kaseya VSA atau eksploitasi SolarWinds, semua serangan ini memiliki aspek rantai pasokan tertentu yang benar-benar memperluas jumlah potensi korban, mengalir ke organisasi hilir dan hubungan penyedia/pelanggan," kata Hammond kepada The Register.

"Dampak satu-ke-banyak itu adalah hal yang sangat menarik bagi peretas, dan itulah yang membuat ancaman rantai pasokan begitu menyeramkan."

Namun, dia menambahkan, jenis intrusi ini berarti "pelaku ancaman hanya dapat memainkan kartu itu sekali untuk setiap serangan. Setelah korban di hilir disusupi, sumur mengering, dan musuh harus melakukan serangan berikutnya."[]