De MOVEit-inbreuk is een van de grootste ransomware-aanvallen van 2023 en heeft miljoenen mensen wereldwijd getroffen.
Belangrijkste leerpunten
- De MOVEit-inbreuk, uitgevoerd door de Clop-ransomwaregroep, is een van de grootste hacks van 2023 en heeft gevolgen voor 2.659 organisaties en 67 miljoen mensen.
- Bij de inbreuk werd misbruik gemaakt van zero-day-kwetsbaarheden in de MOVEit-applicatie, waardoor aanvallers toegang kregen tot gevoelige gegevens die waren opgeslagen door organisaties die de software gebruikten.
- De onderwijssector werd zwaar getroffen door de inbreuk, waaronder universiteiten als John Hopkins en Webster University. Andere getroffen sectoren zijn onder meer de gezondheidszorg, de financiële sector en het bedrijfsleven.
Bent u een van de 62 miljoen mensen die getroffen zijn door de MOVEit-inbreuk? De MOVEit-inbreuk is een van de grootste hacks van 2023, waarbij de Clop-ransomwaregroep duizenden organisaties heeft gegijzeld en tientallen miljoenen dollars heeft weggesluisd.
Wat is de MOVEit-ransomware-aanval en welke gevolgen heeft deze voor zoveel mensen?
Wat is MOVEit?
MOVEit is een veilige software en service voor bestandsoverdracht ontwikkeld door Progress Software, ontworpen om de veilige overdracht van gevoelige gegevens tussen organisaties en individuen te vergemakkelijken. MOVEit wordt gebruikt door bedrijven, overheidsorganisaties, universiteiten en eigenlijk elke entiteit die dat doet slaat zijn gegevens op en beheert deze, waardoor bedrijven bestanden en gegevens veilig kunnen overbrengen om ze te beschermen van ongeoorloofde toegang of inbreuken.
In mei 2023 was dit echter niet meer het geval toen de Clop-ransomwaregroep de gegevens van duizenden organisaties hackte die voor hun gegevens gebruik maakten van MOVEIt.
Hoe is de MOVEit-inbreuk gebeurd?
In mei 2023 maakte de beruchte Clop-ransomwaregroep misbruik van meerdere zero-day-kwetsbaarheden in de MOVEIt-applicatie.
Een zero-day-kwetsbaarheid is een softwarebeveiligingsfout die onbekend is bij de leverancier of het publiek en die door aanvallers wordt uitgebuit voordat er een oplossing of patch beschikbaar is. Zero-day-kwetsbaarheden zijn bijzonder gevaarlijk omdat ze gedurende zeer lange tijd heimelijk kunnen worden uitgebuit zonder medeweten van de leverancier.
Progress Software heeft deze kwetsbaarheden uiteindelijk gepatcht, maar het was al te laat. In de periode dat de kwetsbaarheid onbekend was bij het publiek en de leveranciers, hebben aanvallers toegang gekregen tot de gegevens van duizenden organisaties die gebruik maakten van MOVEit om hun gegevens te beheren en over te dragen.
De ransomwaregroep Clop ontdekte meerdere kwetsbaarheden voor SQL-injectie in de MOVEit-applicatie, waardoor ze toegang kregen tot de database van organisaties en gegevens konden downloaden en bekijken. SQL-injectie is een kwetsbaarheid waarbij kwaadaardige SQL-code in invoervelden wordt ingevoegd, waardoor kwetsbaarheden in een database-ondersteunde applicatie worden misbruikt. De ongeautoriseerde code kan de database manipuleren, waardoor mogelijk gevoelige informatie openbaar wordt gemaakt of gewijzigd.
De kwetsbaarheden voor SQL-injectie zijn geregistreerd als CVE-2023-34362, CVE-2023-35036 en CVE-2023-35708 en zijn respectievelijk op 31 mei 2023, 9 juni 2023 en 15 juni 2023 gepatcht. Alle versies van de MOVEit-overdrachtsapplicatie waren kwetsbaar voor deze kwetsbaarheden. Wanneer misbruik wordt gemaakt, kan een niet-geverifieerde aanvaller toegang krijgen tot de inhoud van de MOVEIt-overdrachtsdatabase van de organisatie. Dit betekent dat de aanvaller databases zonder enige beperking kan downloaden, wijzigen of zelfs verwijderen.
De impact van de MOVEit-inbreuk
Volgens de analyse van Emisoft en statistieken over het MOVEit-datalek: op 9 november 2023 zijn 2.659 organisaties getroffen door het MOVeit-lek, en meer dan 67 miljoen mensen zijn getroffen door organisaties die voornamelijk gevestigd zijn in de Verenigde Staten, Canada, Duitsland en het Verenigd Koninkrijk.
Het onderwijs is de zwaarst getroffen sector, waarbij de gegevens van talloze universiteiten door deze aanvallers worden overgeheveld. Onderwijsorganisaties die door deze inbreuk worden getroffen, zijn onder meer het openbare schoolsysteem van New York City, John Hopkins University, de University of Alaska en Webster University zijn onder andere populair universiteiten. Andere sectoren die zwaar door deze inbreuk worden getroffen, zijn onder meer de gezondheidszorg, banken, financiële instellingen en bedrijven.
Enkele van de bekendere organisaties die getroffen zijn door de MOVEit-ransomware zijn de BBC, Shell, Siemens Energy, Ernst & Young en British Airways.
Op 25 september 202 heeft de leidende dienst voor de registratie van prenatale, pasgeborenen en kinderen,GEBOREN Ontario, bracht een verklaring uit over de MOVEit-inbreuk, waaruit bleek dat zij getroffen waren door de MOVEit-inbreuk. Volgens hun rapport zorgde de MOVEit-kwetsbaarheid ervoor dat ongeautoriseerde kwaadwillende externe actoren toegang kregen tot bestanden en deze konden kopiëren persoonlijke gezondheidsinformatie in de BORN Ontario-dossiers, die waren overgedragen met behulp van de beveiligde software voor bestandsoverdracht.
Als reactie hierop heeft Born Ontario het systeem onmiddellijk geïsoleerd, de getroffen server buiten gebruik gesteld en een onderzoek, waarbij we samenwerken met cyberbeveiligingsexperts om de ernst vast te stellen en om welke specifieke gegevens het ging gestolen.
Veel van deze organisaties zijn niet gehackt omdat ze de MOVEit-applicatie gebruikten, maar omdat ze bezochte externe leveranciers die gebruik maakten van de MOVEit-overdrachtsapplicatie, waardoor ze eveneens geschonden. Voor andere organisaties geldt een vergelijkbare situatie, die miljarden dollars aan ransomware-betalingen en andere beveiligingsoplossingen kost.
U bent getroffen door de MOVEit-inbreuk. Wat nu?
Als u MOVEit nog steeds gebruikt, patch deze dan onmiddellijk naar de nieuwste versie om te voorkomen dat uw bestanden en gegevens door deze hackers worden gestolen. Het internet en de software die er gebruik van maakt, zijn helaas gevoelig voor hacks en ransomware, en dat moet u zelf in de gaten houden en uw bedrijfsmiddelen beveiligen door regelmatig wachtwoorden te wijzigen, antivirussoftware te gebruiken en multi-factor in te schakelen authenticatie.
Maar zoals de MOVEit-inbreuk laat zien, kun je dat allemaal doen, en een team van hackers zal een exploit vinden die nog nooit eerder is gezien.