MOVEit黑客事件的受影响组织数量仍不明

关键要点

MOVEit黑客事件造成的组织受损数量依然未明。Cl0p勒索团伙每天公布新受害者，当前已确认近370个组织受到影响。事件影响范围远超Progress Software的直接客户，许多通过第三方供应商与MOVEit相关的组织亦受到牵连。数据共享与依赖复杂关系使得组织在未察觉的情况下暴露于黑客攻击中。

MOVEit黑客事件的确切受害组织数量仍然无法确定，Cl0p勒索团伙利用Progress Software的文件传输服务中的漏洞，持续曝光声称新受害者的名单。自5月事件曝光以来，受影响组织的数量并未减缓。

Cl0p在其暗网泄密网站上发布了数百家公司、州和地方政府、大学及其他组织的名称，威胁称如果不满足赎金要求，将泄露任何声称为受害者的数据。与此同时，数十个组织已通过媒体报道、公开声明或监管披露确认其数据被盗。

根据许多安全专家的看法，MOVEit事件已成为史上最广泛的文件传输破解事件。但每日新增受影响组织的公告让专家们很想知道这种趋势何时会结束，Cl0p是否会用尽其勒索目标。目前为止，Cl0p是唯一一个被网络安全专家发现利用这一漏洞的团伙，而Progress Software在过去两个月中已经宣布了一系列类似的SQL漏洞。

Huntress的高级安全研究员John Hammond在接受SC Media采访时调侃道，Cl0p“很会延长新闻周期”。他表示：“MOVEit Transfer的利用事件似乎是一个永不结束的事件。初始感染、随之而来的漏洞，以及Cl0p持续泄露公司数据，已经持续了一个多半月。”

确认受损组织达近370个

到目前为止，公众对于黑客事件影响的讨论主要集中在Progress Software的直接客户或使用其文件传输服务的实体上。然而，网络安全专家以及专门分析软件供应链漏洞的公司认为，潜在的受影响范围可能远不止这些。

Emsisoft的勒索软件研究员Brett Callow正在追踪此次黑客事件的实际影响，记录Cl0p网站及其他披露的每个实体。截至目前，他确认至少有369个组织受到影响，或者被Cl0p标记为受害者。

他在通信中告诉SC Media，这369个组织中，至少有93个是通过第三方、第四方或第五方供应商被入侵的。“上下游关系极其复杂，并非所有受影响的组织都知道自己已被影响。”他表示。

许多公司可能并未直接使用MOVEit Transfer，但已将数据发送给使用该服务的第三方供应商。由于这些服务提供商被攻击，也可能暴露了其他方发送给他们的信息。

天行加速器节点

Hammond表示，“很明显”。依赖这些提供商的多个受害者在此次黑客事件中受到了影响。“我同意这是一种连锁反应，就像一组倒下的多米诺骨牌可能是因为在其他位置使用数据，或是通过软件集成或连接应用程序来桥接技术。”他说：“任何组织之间的技术依赖关系都可能被威胁者利用。”

这类关系也正是像Exiger这样专注于供应链风险管理的公司在MOVEit漏洞披露后努力梳理的节点。

该公司从互联网中抓取、收集并策划了多种数据点，不仅捕捉了直接购买和使用MOVEit的公司，还涵盖那些与使用该软件的第三方供应商有合同的企业，以及从Carahsoft等来源购买了包括MOVEit的软件包的公司，甚至是对寻求具有文件传输服务经验的候选人发布职位描述的公司。

“我们利用多种数据源来绘制MOVEit的安装情况及将公司与软件关联起来的不同方式，”Exiger网络风险副总裁Munish WaltherPuri告诉SC Media。

根据分享给SC Media的数据，Exiger“中度自信”至少有73000个实体与MOVEit有某种有意义的关系，这可能使他们的数据在黑客事件中暴露出风险。

进一步审视这些公司及其软件供应链之间的关系，数字会迅速膨胀。

![Progress软件产品