2月间爆出已经遭滥用的GoAnywhere漏洞受害者持续增加。勒索软件Clop背后的黑客公布最新感染企业或组织,包括加拿大多伦多市、英国维珍(Virgin)集团及民生化学用品巨头P&G。
安全研究人员Dominic Alvieri发现Clop黑客组织周三公布最新一波受害企业组织,包括加拿大多伦多市政府、维珍(Virgin)集团、P&G、荷美尔(Hormel)食品、慕尼黑再保险公司(Munich Re)、美国国际喷气机货运(AmeriJet Airlines)、矿业公司力拓(Rio Tinto)、教育集团Pluralsight、Investissement Québec、艾克塞斯银行(Axis Bank)等。
Clop黑客是滥用了GoAnywhere托管文件传输(MFT)服务的远程程序代码执行(RCE)漏洞CVE-2023-0669取得受害企业或组织资讯。Clop 2月表示共黑入了约130家企业组织。日立能源、Rubrik、Investissement Québec已在本周稍早公布此事。
加拿大多伦多市政府周二证实遭到资讯外泄攻击。多伦多市政府表示黑客经由第三方厂商访问市府资讯,但受影响范围仅及该厂商处理的资料。但市府否认是遭到Clop攻击,第三方服务也不是GoAnywhere。
维珍集团旗下点数兑换业务Virgin Red、P&G及Pluralsight也都坦承是GoAnywhere用户且遭遇资讯外泄。Virgin Red和P&G都说只有员工资讯外泄,不影响客户个人信息。Pluralsight则坦承企业客户资讯被窃。
Clop黑客昨日公布39家添加受害者,本周一共有72家企业或政府单位已经为人所知。2021年Clop已利用Accellion FTA漏洞感染数千家企业,基于GoAnywhere MFT和Accellion FTA的产品相似功能,媒体推测GoAnywhere MFT漏洞滥用可能还会持续及蔓延。