Peneliti keamanan membunyikan alarm setelah peretas tertangkap mengeksploitasi kerentanan yang baru ditemukan dalam alat transfer file populer yang digunakan oleh ribuan organisasi untuk meluncurkan gelombang baru serangan eksfiltrasi data massal.

Kerentanan memengaruhi perangkat lunak transfer file terkelola MOVEit Transfer (MFT) yang dikembangkan oleh Ipswitch, anak perusahaan Progress Software yang berbasis di AS, yang memungkinkan organisasi untuk berbagi file besar dan kumpulan data melalui internet. Kemajuan dikonfirmasi pada hari Rabu bahwa mereka telah menemukan kerentanan dalam Transfer MOVEit yang “dapat menyebabkan peningkatan hak istimewa dan potensi akses tidak sah ke lingkungan,” dan mendesak pengguna untuk menonaktifkan lalu lintas internet ke lingkungan Transfer MOVEit mereka.

Tambalan tersedia dan Kemajuan mendesak semua pelanggan untuk segera menerapkannya.

Badan keamanan siber AS CISA juga mendesak organisasi AS untuk mengikuti langkah-langkah mitigasi Progress, menerapkan pembaruan yang diperlukan, dan mencari aktivitas jahat apa pun.

Alat transfer file perusahaan telah menjadi target yang semakin menarik bagi peretas, karena menemukan kerentanan dalam sistem perusahaan yang populer dapat memungkinkan pencurian data dari banyak korban.

Jocelyn VerVelde, juru bicara Progress melalui agen hubungan masyarakat luar, menolak mengatakan berapa banyak organisasi yang menggunakan alat transfer file yang terpengaruh, meskipun situs web perusahaan menyatakan bahwa perangkat lunak tersebut digunakan oleh “ribuan organisasi di seluruh dunia”. Shodan, ​​mesin pencari untuk perangkat dan basis data yang terbuka untuk umum, mengungkapkan lebih dari 2.500 server Transfer MOVEit yang dapat ditemukan di internet, sebagian besar berlokasi di Amerika Serikat, serta Inggris, Jerman, Belanda, dan Kanada.

Kerentanan juga memengaruhi pelanggan yang mengandalkan platform cloud MOVEit Transfer, menurut peneliti keamanan Kevin Beaumont. Setidaknya satu contoh yang terpapar terhubung ke Departemen Keamanan Dalam Negeri AS dan beberapa “bank besar” juga diyakini sebagai pelanggan MOVEIt juga terpengaruh, menurut Beaumont.

Beberapa perusahaan keamanan mengatakan mereka telah mengamati bukti eksploitasi.

Mandiant mengatakan sedang menyelidiki “beberapa intrusi” terkait dengan eksploitasi kerentanan MOVEit. Kepala petugas teknologi Mandiant Charles Carmakal mengonfirmasi bahwa Mandiant telah “melihat bukti eksfiltrasi data pada banyak korban”.

Startup cybersecurity Huntress mengatakan dalam sebuah posting blog bahwa salah satu pelanggannya telah melihat “rangkaian serangan penuh dan semua indikator kompromi yang cocok.”

Sementara itu, firma riset keamanan Rapid7 mengonfirmasi telah mengamati tanda-tanda eksploitasi dan pencurian data dari “setidaknya empat insiden terpisah”. Caitlin Condon, manajer senior riset keamanan di Rapid7, mengatakan bahwa perusahaan telah melihat bukti bahwa penyerang mungkin telah mulai mengotomatisasi eksploitasi.

Meskipun tidak jelas kapan eksploitasi dimulai, startup intelijen ancaman GreyNoise mengatakan telah mengamati aktivitas pemindaian paling cepat 3 Maret dan mendesak pengguna untuk meninjau sistem untuk setiap indikator akses tidak sah yang mungkin terjadi dalam 90 hari terakhir.

Belum diketahui siapa yang bertanggung jawab atas eksploitasi massal server MOVEit.

Condon dari Rapid7 memberi tahu TechCrunch bahwa perilaku penyerang tampaknya “oportunistik daripada ditargetkan,” menambahkan bahwa ini “bisa menjadi pekerjaan aktor ancaman tunggal yang melemparkan satu eksploit tanpa pandang bulu ke target yang terbuka.”

Ini adalah upaya terbaru para peretas dan kelompok pemerasan untuk menargetkan sistem transfer file perusahaan dalam beberapa tahun terakhir.

Pada bulan Januari, geng ransomware Clop yang terkait dengan Rusia mengklaim bertanggung jawab atas eksploitasi massal kerentanan dalam perangkat lunak transfer file yang dikelola Fortra’s GoAnywhere. Lebih dari 130 organisasi yang menggunakan GoAnywhere menjadi sasaran, termasuk perusahaan perawatan kesehatan NationBenefits yang berbasis di Florida, penyedia terapi virtual Brightline, dan Kota Toronto.

Clop juga berada di balik serangan luas lainnya pada alat transfer file populer lainnya pada tahun 2021. Geng tersebut melanggar alat berbagi file Accellion untuk meluncurkan serangan terhadap sejumlah organisasi, termasuk Morgan Stanley, Universitas California, raksasa grosir Kroger, dan firma hukum Jones Day .