MOVEit 应用程序的安全漏洞与 Cl0p 勒索软件小组的最新动态

关键要点

• Huntress 的新研究表明，MOVEit 文件传输应用程序的漏洞并未导致勒索软件的部署或组织的全面性妥协。
• Cl0p 利用初步访问权限以及 Web Shell 进行文件拷贝和数据外泄，但未尝试全面网络妥协。
• Cl0p 当前主要采用数据勒索策略，威胁公开敏感数据以获取赎金，而不是加密文件。

Huntress 最近的一项研究显示，MOVEit 文件传输应用程序的漏洞被 Cl0p勒索软件小组利用，但尚未导致勒索软件的实际部署或整个组织的安全妥协。根据 ，研究人员指出，这一策略的记录与之前 Cl0p 针对 GoAnywhere MFT 的攻击类似，主要利用初步访问进行
Web Shell 部署，以便拷贝和外泄文件。

研究人员表示，目前尚未发现 Cl0p 尝试进行全面网络妥协的案例。Huntress的研究团队总结称：“我们观察到了一种变化——从有意的全面网络环境妥协以部署勒索软件，转向利用漏洞进行数据外泄的机会主义行为。”

Huntress 的高级安全研究员 John Hammond补充道：“他们利用被盗文件作为对受害者的施压工具，威胁公开客户的个人健康信息（PHI），个人识别信息（PII）或其他细节，都使组织面临足够的风险来支付赎金。”

Huntress 的研究正值 Progress Software 上周报告了
。这些新漏洞的报告跟随了5月和6月 MOVEit Transfer 和 MOVEitCloud 报告的多个 SQL 注入漏洞。至少有一个漏洞 ，导致多家公司透露其数据在攻击中被盗。

Cl0p 在其暗网泄漏页面上列出了近 200 家公司的信息，专家预计在接下来的几周和几个月内会发现更多受害者。当前被主动利用的零日漏洞被追踪为
，即使在发布补丁后仍持续被积极利用。

Huntress 的研究指出，Cl0p 通过威胁公开被盗敏感数据来勒索受害者，Horizon3.ai 的漏洞开发者 James Horseman解释道。与加密文件迫使受害者支付解密金不同，Cl0p 是窃取文件并威胁公开，除非受害者付款。

“通过仅窃取数据而不进行加密，Cl0p 可以在更长时间内避免被发现，并妥协更多受害者，”Horseman 解释道。

根据安宗威（Andre van der Walt）的说法，Huntress 报告反映出传统勒索软件模型的变化。在这个案例中，Cl0p仅对许多存储和传输敏感文件的 MOVEit 系统获得了立足点，然后进行数据外泄。

“在大多数情况下，他们没有必要加密数据，因为发送者拥有副本，这对于勒索团伙而言是无法触及的，因此数据恢复并不是问题，”van der Walt解释道。“当然，许多敏感文件在实体之间转移。除非公司采取额外步骤加密传输中的文件，否则此数据现在已暴露，成为勒索尝试的筹码。正如 Huntress所指出的，Cl0p 可能在此事中过于扩展了其能力，因为他们最初成功所依赖的资源不足导致了能力的限制。”