أطلقت هيئة الأوراق المالية والبورصة الأمريكية (SEC) تحقيقًا في الاختراق الجماعي لأداة نقل الملفات MOVEit التابعة لشركة Progress Software، والتي يُقدر الآن أنها أثرت على أكثر من 2000 مؤسسة وكشفت البيانات الشخصية لحوالي 64 مليون شخص.
أجرتها عملية الفدية Clop (أو Cl0p) في أواخر مايو 2023، تضمن الاختراق استغلال ثغرة أمنية لحقن لغة الاستعلام المنظمة في الأداة، مما سمح للمؤسسة الإجرامية بتسلل كميات هائلة من البيانات من مجموعة متنوعة من المنظمات دون نشر خزانة برامج الفدية. .
بينما قامت شركة Progress Software لاحقًا بتصحيح ثلاث نقاط ضعف منفصلة في الأسابيع التي تلت الحادث (CVE-2023-34362, CVE-2023-35036 و CVE-2023-35708)، كانت تكتيكات التسلل التي اتبعها Clop تعني أنه كان قادرًا على سرقة كمية كبيرة من البيانات قبل حدوث التصحيحات، واستخدام التهديد بنشر تلك البيانات لابتزاز المدفوعات من الضحايا.
في الإيداع التنظيميقالت شركة Progress Software إنها تلقت مذكرة استدعاء من هيئة الأوراق المالية والبورصة في 2 أكتوبر “للبحث عن مستندات ومعلومات مختلفة تتعلق بثغرة MOVEit الأمنية”، مضيفة أن تحقيق الهيئة التنظيمية في هذه المرحلة يقتصر على تقصي الحقائق.
وكتبت “التحقيق لا يعني أن شركة بروجرس أو أي شخص آخر قد انتهك قوانين الأوراق المالية الفيدرالية، ولا يعني التحقيق أن هيئة الأوراق المالية والبورصة لديها رأي سلبي تجاه أي شخص أو كيان أو ورقة مالية”. “تعتزم منظمة التقدم التعاون بشكل كامل مع هيئة الأوراق المالية والبورصة في تحقيقاتها.”
وفق بحث من قبل المورد الأمني Emsisoft، وصل العدد الحالي للمؤسسات المتأثرة بالحادث إلى 2,547 اعتبارًا من 12 أكتوبر، بينما وصل عدد الأشخاص المتأثرين إلى 64,467,518.
وأكدت شركة Progress Software في ملفها أنها تواجه الآن عشرات المعارك القانونية نتيجة للانتهاك، بما في ذلك 23 خطابًا رسميًا من العملاء، وعدد غير محدد منها يسعى للحصول على تعويض؛ شركة تأمين تقدم إشعارًا بالحلول يسعى لاسترداد جميع النفقات المتكبدة فيما يتعلق بالثغرة الأمنية؛ و58 دعوى قضائية جماعية رفعها أفراد يدعون أنهم تأثروا بتسريب البيانات.
وفيما يتعلق بالنفقات المتكبدة بالفعل، أضاف الملف أن ثغرة MOVEit كلفت الشركة حوالي مليون دولار حتى الآن، على الرغم من أنها أضافت أيضًا أن التكلفة الكاملة غير معروفة بعد بسبب جميع المسائل القانونية والتحقيقات الجارية.
“فيما يتعلق بالتقاضي، تظل الإجراءات في مراحلها الأولى، ولم يتم تحديد الأضرار المزعومة، وهناك عدم يقين بشأن احتمال اعتماد فئة أو فئات أو الحجم النهائي لأي فئة إذا تم اعتمادها، وهناك شكوك كبيرة بشأن التقاضي وأضافت أن القضايا الواقعية والقانونية يجب حلها.
“أيضًا، كل من التحقيقات والتحقيقات الحكومية المذكورة أعلاه يمكن أن تؤدي إلى أحكام سلبية أو تسويات أو غرامات أو عقوبات أو قرارات أخرى، قد يكون حجمها ونطاقها وتوقيتها جوهريًا، ولكن لا يمكننا التنبؤ بها حاليًا. لذلك، لم نسجل التزامًا طارئًا بالخسارة بسبب ثغرة MOVEit اعتبارًا من 31 أغسطس 2023.
وأضافت شركة Progress Software أنها تتوقع تكبد تكاليف إضافية قدرها 4.2 مليون دولار تتعلق بحادث منفصل للأمن السيبراني في نوفمبر 2022، على الرغم من عدم وجود تفاصيل حول هذا الحادث بخلاف ما ستكشف عنه الشركة في الشهر التالي.
وقال متحدث باسم شركة التقدم تك كرانش ولم يكن حادث نوفمبر 2022، الذي ظلت فيه الشركة تعمل بكامل طاقتها طوال الوقت، مرتبطًا بأي “ثغرات برمجية تم الإبلاغ عنها مؤخرًا”.
التحدث مع أخبار المستقبل المسجلة، قال بريت كالو، محلل التهديدات في Emsisoft، الذي تابع الموقف منذ الكشف عنه لأول مرة في مايو، إنه من المحتمل جدًا أن يستخدم Clop وغيره من الجهات الفاعلة في مجال التهديد البيانات المسربة لشن المزيد من الهجمات الإلكترونية على المنظمات الأخرى، بما في ذلك التصيد الاحتيالي وتسوية البريد الإلكتروني التجاري الهجمات.
