Five Eyes met en garde contre les attaques d'Accellion TLC menant à l'extorsion

  • Principal
  • Nouvelles
  • Five Eyes met en garde contre les attaques d'Accellion TLC menant à l'extorsion

Five Eyes met en garde contre les attaques d'Accellion TLC menant à l'extorsion

Image: bmoxey

Les membres de Five Eyes ont publié un avis de sécurité conjoint concernant les attaques et les tentatives d'extorsion en cours ciblant les organisations utilisant l'appliance de transfert de fichiers Accellion (FTA) non prise en charge.

Five Eyes (également connue sous le nom de FVEY) est une alliance de partage de renseignements qui permet à ses membres, les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande, de partager des renseignements électromagnétiques (SIGINT), des renseignements géospatiaux (GEOINT) et humains. intelligence. (HUMINT).

«Les cyber-acteurs du monde entier ont profité des vulnérabilités du dispositif de transfert de fichiers Accellion pour attaquer diverses organisations gouvernementales fédérales, étatiques, locales, tribales et territoriales, ainsi que des organisations du secteur privé dans les domaines médical, juridique, des télécommunications, financier et énergie. secteurs. ', CISA Dit-elle aujourd'hui.

'Cette activité a eu un impact sur des organisations du monde entier, y compris celles d'Australie, de Nouvelle-Zélande, de Singapour, du Royaume-Uni et des États-Unis.'

En plus de fournir des indicateurs de compromission (IOC) et des mesures d'atténuation pour ceux qui utilisent encore le logiciel Accellion FTA vulnérable, les membres de l'alliance ont également mis en garde contre les attaquants extorquant de l'argent à des organisations piratées sous la menace de fuites d'informations sensibles volées sur l'appareil Accellion.

'Dans certains cas, l'attaquant a extorqué des organisations de victimes pour empêcher la divulgation publique d'informations extraites d'un appareil Accellion compromis', conseil conjoint droit.

Les attaquants à l'origine de cette campagne d'extorsion en cours ont exploité quatre vulnérabilités affectant le logiciel Accellion FTA pour cibler les clients de l'entreprise.

Au cours de l'une des attaques contre une organisation SLTT, les acteurs de la menace ont potentiellement eu accès à des « données organisationnelles sensibles ».

Les membres de Five Eyes conseillent aux clients d'Accellion FTA de mettre en œuvre les mesures d'atténuation suivantes pour prévenir les attaques :

  • Isolez ou bloquez temporairement l'accès Internet vers et depuis les systèmes hébergeant le logiciel.
  • Évaluez le système à la recherche de preuves d'activités malveillantes, y compris les IOC, et obtenez un instantané ou une image de disque médico-légale du système pour une enquête plus approfondie.
  • Si une activité malveillante est identifiée, obtenez un instantané ou une image disque médico-légale du système pour une enquête plus approfondie, puis :
    • Envisagez d'examiner les comptes d'utilisateurs Accellion FTA pour les modifications non autorisées et envisagez de réinitialiser les mots de passe des utilisateurs.
    • Réinitialisez tous les jetons de sécurité sur le système, y compris le jeton de chiffrement « W1 », qui peut avoir été exposé via une injection SQL.
  • Mettez à jour Accellion FTA vers la version FTA_9_12_432 ou ultérieure.
  • Évaluez les solutions possibles pour migrer vers une plate-forme de partage de fichiers prise en charge après avoir effectué les tests appropriés.
    • Accellion a annoncé que l'ALE atteindra la fin de vie (EOL) le 30 avril 2021. Le remplacement des logiciels et des micrologiciels/matériels avant qu'ils n'atteignent la fin de vie réduit considérablement les risques et les coûts.

Jusqu'à 100 organisations violées

Mi-décembre 2020, Accellion révélé Une vulnérabilité zero-day activement exploitée affectant le service FTA Secure File Transfer.

Les acteurs de la menace ont exploité cette faille de sécurité pour voler des données aux entreprises qui utilisaient le service d'Accellion pour communiquer en toute sécurité avec des partenaires et des clients.

Parmi les entreprises touchées par les attaques en cours contre les vulnérabilités d'Accellion FTA, BleepingComputer a signalé des incidents impliquant le géant des supermarchés Kroger, Singtel, le QIMR Berghofer Medical Research Institute, la Reserve Bank of New Zealand, l'Australian Securities and Investments Commission (ASIC) et le Washington State Auditor's Office ( 'SAO').

Une annonce coordonnée publiée lundi par Accellion et Mandiant a mis en lumière le déroulement des attaques.

Accellion Dit-elle il y avait 300 clients utilisant un logiciel FTA hérité de 20 ans, dont moins de 100 ont été piratés par le gang de rançongiciels Clop et FIN11 (les groupes de cybercriminalité à l'origine de ces attaques). Selon Accellion, les victimes de moins de 25 ans semblaient avoir « subi un important vol de données ».

Les deux groupes ont déjà travaillé ensemble, FIN11 ayant rejoint le secteur des ransomwares l'année dernière et commençant à chiffrer les réseaux de leurs victimes à l'aide de Clop.

CISA a également publié un Malware Analysis Report (MAR) aujourd'hui avec des informations sur le webshell préprocesseur hypertexte (PHP) malveillant déployé sur des serveurs Accellion FTA compromis pour exfiltrer des documents d'intérêt.

Mandiant a supervisé l'exploitation récente d'Accellion FTA en utilisant divers jours zéro tels que UNC2546. Les vulnérabilités suivantes ont été découvertes :

  • CVE-2021-27101 : injection SQL à l'aide d'un en-tête d'hôte spécialement conçu
  • CVE-2021-27102 : Exécution de la commande du système d'exploitation en appelant le service Web local
  • CVE-2021-27103 : SSRF via une requête POST préparée
  • CVE-2021-27104 : Exécution de la commande du système d'exploitation à l'aide d'une requête POST préparée

Bien que Mandiant surveille cette activité en tant qu'UNC2582, séparément de la campagne d'extorsion, ils ont également trouvé des chevauchements entre les deux opérations et les opérations précédentes attribuées au groupe de cybercriminalité FIN11.

Mandiant a décrit le lien entre FIN11 et UNC2546 dans les violations d'Accellion comme 'convaincant', mais indique également que le rapport est toujours en cours d'évaluation.

Qu'est-ce que tu penses?