Passordhåndtereren for bedrifter, Passwordstate fra ClickStudios, føyer seg inn i rekken av slike programmer som må heise det røde flagget, og ber nå alle brukere om å endre passord umiddelbart.
Alt fra militæret til banker
Det som gjør dette angrepet hakket verre enn når software ment for sluttbrukere blir angrepet er at på hjemmesiden til ClickStudios kan man lese at kundemassen deres er på 29.000 bedrifter, og de oppgir at kundene befinner seg i bransjer som spenner fra bank, statlig, fabrikker, luftfart, forsikring, helse, advokater, forsvar, gruve, olje, gass, bygg og anlegg. For å gni ytterligere salt i såret er dette programmet ment for bruk av IT-sikkerhet og driftspersonell.
Det betyr at datasettet potensielt kan inneholde passord til brannmurer og annen kritisk infrastruktur.
I et varsel sendt ut til deres kunder forteller ClickStudios at angrepet skjedde mellom 20. og 22. april, og at det var oppdateringsmekanisken til programmet som var utsatt. På denne måten kunne angriperens kode lastes inn på maskinene til ClickStudios sine kunder uten at de var klar over det. De presiserer at det ikke er deres CDN-nettverk som er kompromittert.
Annonse
“Moserpass” samlet systeminfo og passord
Moserpass er navnet som skadevaren har fått, og etter at den ondsinnede koden var på plass startet den å samle inn informasjon om systemet den var installert på i tillegg til data fra Passwordstate. Disse dataene ble så sendt tilbake til servere kontrollert av angriperen, når det var gjort så gikk skadevaren i dvale i et døgn for så å våkne opp igjen og gjenta prosedyren.
I følge J. A. Guerro-Saade, en IT-sikkerhets spesialist fra SentinelOne så hadde skadevaren tilrettelagt en funksjonalitet som hadde tillatt den å utføre mer på et senere tidspunkt ved å hente ytterligere instrukser.
Tilbakestill alle passord
I sin andre pressemelding på søndag skriver ClickStudios at det er kun de som har gjennomført en oppdatering mellom 20. og 22 april som er påvirket og kan ha fått sine data lekket. Click Studios anbefaler videre alle kunder som oppgraderte i det aktuelle tidsrommet til å resette alle passord som er lagret i Passwordstate i følgende rekkefølge:
- Alle passord for systemer tilknyttet internett (brannmur, vpn, websider etc)
- Alle passord for intern infrastruktur
- Alle andre passord
Ukjent antall brukere
Clik Studios skriver på sine hjemmesider at de ikke vet hvor mange brukere eller omfanget av data som er på avveie. Det beste estimatet de har er basert på tidsvinduet, hvordan angrepet er utført og tilbakemeldinger fra deres egne kunder. Utover det har ikke selskapet kommet med noen uttalelse om omfang.
Kilde: Bleepingcomputer.com
Annonse
