Hitachi Energy ยืนยันข้อมูลรั่วไหล ภายหลังการถูกโจมตีของ GoAnywhere จากกลุ่ม Clop ransomware

Hitachi Energy ยืนยันว่ามีการรั่วไหลของข้อมูล ภายหลังจากถูกโจมตี และขโมยข้อมูลออกไปจากกลุ่ม Clop ransomware ด้วยการใช้ช่องโหว่ zero-day ของ GoAnywhere

Hitachi Energy เป็นแผนกหนึ่งของบริษัท Hitachi ยักษ์ใหญ่ด้านโซลูชั่นพลังงาน และระบบพลังงาน โดยมีรายได้ประมาณ 1 หมื่นล้านเหรียญสหรัฐต่อปี

การโจมตีที่เกิดขึ้น เกิดจากการใช้ช่องโหว่ zero-day ใน Fortra GoAnywhere MFT (Managed File Transfer) ที่ถูกเปิดเผยครั้งแรกเมื่อวันที่ 3 กุมภาพันธ์ 2023 โดยมีหมายเลข CVE-2023-0669

Hitachi ระบุในคำแถลงของบริษัทว่า "เราได้รับทราบข้อมูลล่าสุดว่าผู้ให้บริการซอฟต์แวร์ third-party ชื่อ FORTRA GoAnywhere MFT (Managed File Transfer) ถูกโจมตีจากกลุ่ม CLOP ransomware ซึ่งอาจส่งผลให้มีการเข้าถึงข้อมูลของพนักงานของ Hitachi Energy ได้ในบางประเทศ"

บริษัทได้ตอบสนองต่อเหตุการณ์ทันที โดยตัดการเชื่อมต่อกับระบบที่ได้รับผลกระทบ (GoAnywhere MFT) และเริ่มต้นสืบสวนภายในเพื่อหาข้อมูลเพิ่มเติมเกี่ยวกับผลกระทบที่เกิดขึ้น

บริษัทได้แจ้งเจ้าหน้าที่ด้านคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง และหน่วยงานที่เกี่ยวข้องกับเหตุการณ์นี้โดยตรง รวมถึงพนักงานที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว

คำแถลงการณ์ของบริษัทระบุว่า "จนถึงปัจจุบัน เรายังไม่พบหลักฐานว่ามีข้อมูลของลูกค้าที่ได้รับผลกระทบ"

ผลกระทบกำลังเริ่มปรากฏ

เมื่อ Fortra ยอมรับว่ามีช่องโหว่ zero-day บน file-sharing ของ GoAnywhere ตั้งแต่ต้นเดือนกุมภาพันธ์ นักวิเคราะห์ของ BleepingComputer ประเมินว่าอาจมีผลกระทบที่คล้ายกับการโจมตีก่อนหน้านี้กับ Accellion FTA ในปี 2021

ย้อนกลับไป กลุ่ม Clop ransomware ก็ได้ใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเจาะระบบองค์กรที่มีชื่อเสียงหลายแห่งทั่วโลก

เมื่อวันที่ 6 กุมภาพันธ์ 2023 มีการเปิดเผยช่องโหว่สำหรับ CVE-2023-0669 และในวันที่ 10 กุมภาพันธ์ 2023 Clop ได้แถลงการณ์ว่าได้โจมตีเข้าไปยังองค์กรทั้งหมด 130 แห่งโดยใช้ช่องโหว่ใน GoAnywhere MFT

องค์กรแรกที่ยืนยันการโดนโจมตีคือ Community Health Systems (CHS) เมื่อวันที่ 14 กุมภาพันธ์ 2023 ในขณะที่ Hatch Bank มีแถลงการณ์ที่คล้ายกันในวันที่ 2 มีนาคม 2023

Clop เริ่มทำการขโมยข้อมูล และข่มขู่จะเปิดเผยข้อมูลที่ถูกขโมยมาของลูกค้า Fortra ไม่กี่วันหลังจากนั้น โดยเพิ่มจำนวนผู้เสียหายในเว็บไซต์ของทางกลุ่ม และต้องชำระเงินค่าไถ่เพื่อไม่ให้มีการเปิดเผยข้อมูลที่ถูกขโมยมาออกสู่สาธารณะ

ในวันที่ 14 มีนาคม 2023 หลังจากบริษัทด้านความปลอดภัย Rubrik ถูกเพิ่มเข้าสู่เว็บไซต์ข้อมูลรั่วไหล Rubrik ได้ยืนยันว่าพวกเขาได้รับผลกระทบจากการใช้ช่องโหว่ CVE-2023-0669 แต่มีการชี้แจงว่าการรั่วไหลนี้มีผลต่อ IT testing environment ที่ไม่ได้ใช้งานจริงเท่านั้น ซึ่งไม่มีผลต่อข้อมูลลูกค้าแต่อย่างใด

ที่มา : bleepingcomputer