Съдържание
Експлоатация на уязвимостта на софтуера MOVEit Transfer разкрива чувствителни данни на британски фирми и застрашава сигурността на служителите
Няколко известни британски компании, включително BBC, British Airways, Boots и Aer Lingus, станаха жертва на значителен кибер инцидент. Пробивът е изложил личната информация на служителите, включително чувствителни данни като банкови данни и данни за контакт, на злонамерени хакери. Това нарушение на киберсигурността се приписва на група за рансъмуер, известна като Clop, която е насочена специално към уязвимостите на софтуера за прехвърляне на файлове MOVEit. Инцидентът породи опасения относно сигурността на фирмените данни и потенциалното въздействие върху засегнатите служители.
В смело изявление, изпратено по имейл до Ройтерс, хакерите гордо поеха отговорност за атаката, издавайки смразяващо предупреждение, че онези, които се осмелят да се противопоставят на исканията им за откуп, ще бъдат изправени пред публично разкриване на уебсайта на тяхната група. Предишни разследвания на Microsoft вече бяха посочили с пръст рускоезична банда за рансъмуер , намеквайки за участието им в инцидента. Шокиращото разкритие се разкри миналата седмица, когато експерти по киберсигурност разкриха използването на уязвимост от нулев ден – опасен пропуск – в рамките на широко използваната система за прехвърляне на файлове, известна като MOVEit, разработена от Progress Software. Тази уязвимост беше вратата за киберпрестъпниците да проникнат и да извлекат чувствителна информация от множество глобални компании, разчитащи на MOVEit Transfer.
Безброй организации стават жертва на широко разпространеното въздействие
Шокиращото разкритие се разкри в понеделник, когато базираният в Обединеното кралство доставчик на заплати Zellis потвърди, че осем от клиентите му са станали жертва на кибер инцидента. Въпреки че имената на засегнатите организации не бяха оповестени, British Airways (BA) призна участието си в тревожната ситуация. С работна сила от 34 000 души в Обединеното кралство, излагането на авиокомпанията на нарушението е дълбоко обезпокоително.
BBC и Boots, известни с обширния си персонал от 50 000 служители, също се оказаха заплетени в хаоса. Докато телевизионният оператор изрази облекчение, че банковите данни на служителите му остават защитени, идентификацията на компанията и националните застрахователни номера са били компрометирани. Aer Lingus, дъщерно дружество на BA, потвърди, че инцидентът е засегнал както настоящи, така и бивши служители. Въпреки това, никаква финансова или банкова информация или телефонни номера не бяха компрометирани при това тревожно събитие.
Уязвимостта от нулевия ден в продукта MOVEit Transfer на Progress Software е засегнала значително много компании в световен мащаб. Представители на компанията обаче подчертаха, че целият софтуер, притежаван от Zellis, остава незасегнат и не са докладвани инциденти или компромиси във връзка с който и да е друг аспект на нейната ИТ инфраструктура.
Задълбочаване на произхода на атаката: клъстер от заплахи с потенциални руски връзки
Последните открития на фирмата за киберсигурност Maidant хвърлят светлина върху произхода на атаката, идентифицирайки я като „новосъздаден клъстер от заплахи“, наречен UNC4857. Този клъстер включва известни киберпрестъпни групи, като FIN11 , TA505 и Clop , които са установили връзки с Русия. Въпреки това мотивът зад атаката, независимо дали е воден от политически или финансови цели, остава несигурен. Докато FIN11 преди това е действал единствено като престъпна организация, участваща в откуп на данни, това повдига въпроса дали тези познати престъпни мрежи стоят зад инцидента или са замесени кибернаемници с идеологически мотиви.
Интересното е, че обхватът на жертвите, засегнати от атаката MOVEit, надхвърля очакваните цели. Правителството на Нова Скотия, малко вероятна цел за подкрепян от държавата актьор, също стана жертва. Докладите показват, че атаката е имала потенциала да компрометира около 2500 MOVEit сървъра, увеличавайки мащаба и въздействието на пробива. Ipswitch, разработчикът на софтуер за управление на ИТ, все още не е разкрил броя на компаниите, използващи техния софтуер по време на инцидента, преди да приложи поправка.
Какво предстои за жертвите: последици и перспективи
Докато ситуацията се развива, организациите на жертвите трябва да се подготвят за потенциални опити за изнудване, публично излагане на откраднати данни и възможността да бъдат публично засрамени от заплахата. Вероятно киберпрестъпниците скоро ще започнат контакт с жертвите си, като отправят искания за изнудване и систематично ще се насочват към тези в техния списък. За да се предпазят от по-нататъшни щети, се препоръчва всички организации, независимо кога софтуерът е бил закърпен, да извършат задълбочен криминалистичен анализ на своите системи, ако уеб интерфейсът на MOVEit е бил изложен на интернет.
Разкриване на пробива в киберсигурността: BA, BBC и Boots разкриват данни за контакт и банкови данни екранни снимки
