Sisällysluettelo
MOVEit Transfer -ohjelmiston haavoittuvuuden hyödyntäminen paljastaa Yhdistyneen kuningaskunnan yritysten arkaluontoiset tiedot ja vaarantaa työntekijöiden turvallisuuden
Useat merkittävät brittiyhtiöt, kuten BBC, British Airways, Boots ja Aer Lingus, ovat joutuneet merkittävän kybervälikohtauksen uhriksi. Rikkomus on paljastanut työntekijöiden henkilötiedot, mukaan lukien arkaluontoiset tiedot, kuten pankki- ja yhteystiedot, ilkivaltaisille hakkereille. Tämä kyberturvaloukkaus on katsottu Clop-nimiselle kiristysohjelmaryhmälle, joka kohdistui erityisesti MOVEit-tiedostonsiirtoohjelmiston haavoittuvuuksiin. Tapaus on herättänyt huolta yrityksen tietojen turvallisuudesta ja mahdollisista vaikutuksista työntekijöihin.
Reutersille sähköpostitse lähetetyssä rohkeassa lausunnossa hakkerit ottivat ylpeänä vastuun hyökkäyksestä ja antoivat hyytävän varoituksen, että ne, jotka uskalsivat uhmata lunnaita, joutuvat julkisuuteen ryhmän verkkosivuilla. Microsoftin aiemmat tutkimukset olivat jo osoittaneet sormella venäjänkielistä kiristysohjelmajengiä vihjaten heidän osallisuudestaan tapaukseen. Järkyttävä paljastus paljastui viime viikolla, kun kyberturvallisuusasiantuntijat paljastivat Progress Softwaren kehittämän, laajasti käytetyn MOVEit-tiedostonsiirtojärjestelmän nollapäivän haavoittuvuuden – vaarallisen virheen – hyödyntämisen. Tämä haavoittuvuus oli portti verkkorikollisille soluttautua ja poimia arkaluontoisia tietoja lukuisista maailmanlaajuisista yrityksistä, jotka luottavat MOVEit Transferiin.
Lukemattomat organisaatiot joutuvat laajalle levinneen vaikutuksen uhreiksi
Järkyttävä paljastus paljastui maanantaina, kun brittiläinen palkanlaskennan tarjoaja Zellis vahvisti, että kahdeksan sen asiakasta oli joutunut kybervälikohtauksen uhriksi. Vaikkei kärsineiden organisaatioiden nimiä ei julkistettu, British Airways (BA) myönsi osallisuutensa ahdistavaan tilanteeseen. Koska Yhdistyneessä kuningaskunnassa työskentelee 34 000 henkilöä, lentoyhtiön altistuminen rikkomukselle on erittäin huolestuttavaa.
Myös BBC ja Boots, jotka tunnetaan laajasta 50 000 työntekijän henkilöstöstään, joutuivat sotkeutumaan kaaokseen. Lähetystoiminnan harjoittaja ilmaisi helpotuksesta, että sen työntekijöiden pankkitiedot säilyivät turvassa, mutta yrityksen tunnistetiedot ja kansalliset vakuutusnumerot vaarantuivat. BA:n tytäryhtiö Aer Lingus vahvisti, että tapaus vaikutti sekä nykyiseen että entiseen henkilöstöön. Tässä hälyttävässä tapahtumassa ei kuitenkaan vaarantunut taloudellisia tai pankkitietoja tai puhelinnumeroita.
Progress Softwaren MOVEit Transfer -tuotteen nollapäivän haavoittuvuus on vaikuttanut merkittävästi useisiin yrityksiin maailmanlaajuisesti. Yrityksen viranomaiset ovat kuitenkin korostaneet, että kaikki Zellin omistamat ohjelmistot säilyvät ennallaan, eikä sen IT-infrastruktuurin muihin osa-alueisiin ole raportoitu mitään tapauksia tai kompromisseja.
Hyökkäyksen alkuperään tutustuminen: uhkaklusteri, jossa on mahdollisia venäläisiä linkkejä
Kyberturvallisuusyritys Maidantin viimeaikaiset havainnot valaisevat hyökkäyksen alkuperää ja tunnistavat sen "äskettäin luoduksi uhkaklusteriksi" nimeltä UNC4857. Tämä klusteri koostuu tunnetuista kyberrikollisryhmistä, kuten FIN11 , TA505 ja Clop , joilla on yhteyksiä Venäjälle. Poliittisista tai taloudellisista tavoitteista johtuva hyökkäyksen motiivi on kuitenkin edelleen epävarma. Vaikka FIN11 on aiemmin toiminut yksinomaan datalunnastukseen osallistuvana rikollisjärjestönä, herättää kysymyksen, ovatko tapahtuman takana nämä tutut rikollisverkostot vai ovatko mukana ideologiset kyberpalkkasoturit.
Mielenkiintoista on, että MOVEit-hyökkäyksen uhrien ulottuvuus ulottuu odotettujen kohteiden ulkopuolelle. Uhriksi on myös joutunut Nova Scotian hallitus, joka on epätodennäköinen kohde valtion tukemalle toimijalle. Raportit osoittavat, että hyökkäys saattoi vaarantaa noin 2 500 MOVEit-palvelinta, mikä lisäsi tietomurron laajuutta ja vaikutusta. IT-hallintaohjelmistojen kehittäjä Ipswitch ei ole vielä paljastanut niiden yritysten lukumäärää, jotka käyttivät ohjelmistoaan tapahtumahetkellä ennen korjauksen käyttöönottoa.
Mitä uhreilla on edessään: seuraukset ja näkymät
Tilanteen edetessä uhrijärjestöjen on varauduttava mahdollisiin kiristysyrityksiin, varastettujen tietojen julkistamiseen ja mahdollisuuteen joutua julkisesti häpeään uhkatekijän taholta. Todennäköisesti kyberrikolliset ottavat pian yhteyttä uhriinsa, esittävät kiristysvaatimuksia ja kohdistavat järjestelmällisesti kohteeksi listallaan olevia. Lisävahingoilta suojautumiseksi on suositeltavaa, että kaikki organisaatiot, riippumatta siitä, milloin ohjelmisto on korjattu, suorittavat perusteellisen rikosteknisen analyysin järjestelmistään, jos MOVEit-verkkoliittymä oli alttiina Internetiin.
Kyberturvaloukkauksen paljastaminen: BA, BBC ja Boots paljastavat yhteys- ja pankkitiedot kuvakaappausta
