大大小小机构都成为一个常用的文件传送系统中的一个关键漏洞的大量利用的替罪羊。利用先是在阵亡将士留念日假日-而重要漏洞仍然是一个Memorial Day并持续到今天，大概九天后。

截止到周一夜间，薪酬服务项目公司Zellis、澳大利亚新斯科舍省、英国航空公司（British Airways）、BBC（BBC）与英国零售商Boots都已经知道有数据信息在这次攻击中失窃。MOVEit是一家给予云和本地生活服务的文件传送服务提供商，近期修复的一个漏洞加剧了本次攻击。新斯科舍省和Zellis都有各自的案例或云服务器被攻克。英国航空公司、BBC和博姿公司全是Zellis的用户。每一个网络黑客活动都归因于讲西班牙语的Clop犯罪团伙。

普遍且非常可观

虽然被证实的违反规定事情总数比较少，但检测不断攻击的研究人员称，这类采掘个人行为十分普遍。她们把这些黑客行为比成敲击抢劫案件，在其中一扇窗户打破，小偷们尽可能的争夺，并警告说，这种快速行动的抢劫案件正在以令人惊讶的总数围攻金融机构、政府部门和其它总体目标。

安全性公司Volexity首席总裁德莫特·阿代尔(Steven Adair)在一封电子邮件中写到：“大家有部分用户在运作向互联网技术开放式的MOVEit传输，她们都受到危害。”“和我们沟通交流完的别人也看到类似情况。”

Adair接着说：“我不愿意在这一点上对我们的产品进行筛选，因为我不知道是到底谁是运作这个app，然后把她们送去。尽管如此，但受挫是指数量庞大和经营规模小一点机构。他们所调研的案子都涉及到某种意义的信息清除。攻击者通常是在攻击和shell浏览后还不到两小时先从MOVEit网络服务器爬取文档。对于我们来说这应该是普遍存在的，并且非常多的运作面对互联网互联网服务的MOVEit传输网络服务器得到了危害。”

承担安全性公司Rapid7科学研究单位的安全研究高级经理凯特琳·康登（Caitlin Condon）说，她精英团队一般将“普遍威协”一词用以涉及到“好几个攻击者、好几个总体目标”事件。“正在进行中攻击它们都并没有。现阶段已知攻击者只有一个Clop，这是一个讲德语的部门，是很多生也最有活力的勒索病毒参加者之一。当攻击开始的时候，Shodan百度搜索引擎只检索了2510个面对互联网MOVEit案例，相对来说，可以这么说并没“许多总体目标”。

但是，在这样的情况下，Rapid 7是一个除外。

他在一条短信中解释说：“大家没有看见大宗商品现货攻击的参加者或低技能攻击者在这儿散播漏洞，反而是利用全世界范围很广高目标追求，包含组织规模、竖直位置和方向所在位置，为我们将要其归为一种普遍危胁带来了尺寸。”

她指出，自此次事件广为流传至今，周一仅仅第三个运营日，很多受害者很有可能如今才反应过来自身得到了危害。她写到：“随着时间推移，大家想看到比较长的受害者名册出去，尤其是在报告的内容监管政策充分发挥的情形下。”

此外，单独研究者阿隆·博蒙特(Kevin Beaumont)周日夜间在社交平台上表明：“我一直在跟踪这种情况--有二位数orgs被盗取数据信息，主要包括好几个美政府和金融机构。”

MOVEit漏洞来源于一个安全性漏洞，该漏洞容许开展SQL引入，这是很历史悠久和比较常见的攻击种类之一。这种漏洞一般简称为SQLi，一般来源于Web应用软件无法充足消除搜索查询和应用软件很有可能要考虑的指令的别的用户输入标识符。以在会受攻击网站字段名中搜索巧尽想法搭建的字符串数组，攻击的人可以蒙骗Web应用软件回到敏感数据、授于智能管理系统管理权限或刷新应用软件的工作状态。

时间线

根据安全公司Mandiant周一公布的一篇文章，Clop的第一个征兆出现于5月27日。某些情况下，数据信息偷盗出现于安装一个自定webshell追踪为LemurLoot的几分钟内，科研人员说。她们却说：“Mandiant了解到了几起从受害者的MOVEit传输系统内盗取大量文件的案子。LEMURLOOT还能够盗取Azure Storage Blob信息内容，包含凭证，从MOVEit传输应用软件设定，这说明利用此漏洞的女演员很有可能是以Azure盗取文档的情形下，受害者保存在Azure Blob储存器数据信息，尽管现在并不清楚是不是偷盗仅限以这样的方式存放的信息。”

为了能装扮成一个合法合规MOVEit Transfer服务组件human.aspx，webshell被装扮成文件夹名称，例如“human2.aspx”和“human2.aspx.ln k”。Mandiant还强调，已经“注意到在和LEMURLOOT webshell互动以前，对合法合规guestaccess.aspx文档几个POST要求，这说明SQLi攻击是针对该文件信息。”

5月31日，在最早攻击逐渐四天后，MOVEit服务提供商Progress修复了这一漏洞。一天之内，社交平台上的文章露出水面，报导该漏洞正被一个威协个人行为者利用，这一行为者已经漏洞云服务器网站根目录中安装一个名叫human2.aspx文件。安全性公司迅速确认了这一报导。

在这里篇报导发布后，MOVEit高官发表声明称，漏洞一经发现，公司马上进行调查，并告知顾客，告之她们可以采用的减轻对策。在之后的48小时之内，公司技术工程师禁止使用对MOVEit云服务器的Web浏览，开发设计了一个安全更新，并把它给予给顾客，并把它运用到云施中。

申明接着说：“我们将继续与业内领先的网络安全专家协作，调研这一问题，以确保大家采用一切适度的应对策略。”“我们跟联邦政府执法机关和其他机构就这样的一漏洞进行了触碰。还致力在全行业的奋斗中充分发挥核心和合作功效，严厉打击日益复杂而持续不断的互联网犯罪嫌疑人，她们用意故意利用常用的软件项目里的漏洞。我们自己的MOVEit Transfer和MOVEit Cloud知识库系统文章内容带来了更多小细节。”

周日，西蒙尼进行攻击正式缘故来源于微软公司(Microsoft)。微软公司把这些攻击与“花边图飓风”(Lace Tempest)联系在一起。该公司的研究人员应用“蕾丝边·泰普斯特”(Lace Tempest)这个名称来跟踪一家承担维护保养西蒙尼保释金手机软件集团公司勒索页面的保释金业务流程。此外，Mandiant发觉，攻击中常用的战略、技术性和流程与跟踪过的FIN 11组相符合，FIN 11以往曾实施过Clop Ransomware。

Clop都是规模性利用CVE-2023-0669危胁参加者，这是另一个名叫GoAnywhere的文件传送服务上的一个关键漏洞。这类黑客行为使Clop得到降到网络信息安全公司Rubrik，从最大的一个连锁医院之一得到100万多名病人的健康服务，并(依据BailingComputer的信息)为130个组织进行网络黑客攻击。安全性公司亨特的探索也证实，利用CVE-2023-0669开展侵略中使用的恶意程序与Clop有间接关系。

到现在为止，都还没有关受害者接到保释金规定报告。到现在为止，西蒙尼敲诈勒索网址都没有提及这种袭击事件。曼迪德森的研究人员写到：“如果最后行为的目的是敲诈，我们预计受害者机构可能会在未来几天到几周内接到勒索电子邮件。”