תוכן העניינים
ניצול הפגיעות של תוכנת MOVEit Transfer חושף נתונים רגישים של חברות בבריטניה ומסכן את אבטחת העובדים
כמה חברות בולטות בבריטניה, כולל BBC, British Airways, Boots ו-Aer Lingus, נפלו קורבן לתקרית סייבר משמעותית. ההפרה חשפה מידע אישי של העובדים, כולל נתונים רגישים כמו בנק ופרטי יצירת קשר, להאקרים זדוניים. הפרת אבטחת הסייבר הזו יוחסה לקבוצת תוכנות כופר הידועה בשם Clop, שהתמקדה במיוחד בפרצות תוכנת העברת הקבצים של MOVEit. התקרית עוררה חששות בנוגע לאבטחת נתוני החברה וההשפעה הפוטנציאלית על העובדים שנפגעו.
בהצהרה נועזת שנשלחה בדוא"ל לרויטרס, ההאקרים לקחו בגאווה אחריות למתקפה, והוציאו אזהרה מצמררת כי מי שיעז להתנגד לדרישות הכופר שלהם יעמוד בפני חשיפה פומבית באתר האינטרנט של הקבוצה שלהם. חקירות קודמות של מיקרוסופט כבר הפנו אצבעות לעבר כנופיית תוכנות כופר דוברות רוסית, ורמזו על מעורבותם בתקרית. הגילוי המזעזע התפתח בשבוע שעבר כאשר מומחי אבטחת סייבר חשפו את ניצול פגיעות של יום אפס - פגם מסוכן - במערכת העברת הקבצים הנפוצה המכונה MOVEit, שפותחה על ידי תוכנת Progress. פגיעות זו הייתה השער עבור פושעי סייבר לחדור ולחלץ מידע רגיש ממספר חברות גלובליות המסתמכות על MOVEit Transfer.
אינספור ארגונים נופלים קורבן להשפעה הנרחבת
הגילוי המזעזע התפתח ביום שני כאשר ספקית השכר הבריטית Zellis אישרה ששמונה מלקוחותיה נפלו קורבן לתקרית הסייבר. בעוד ששמות הארגונים שנפגעו לא נחשפו, בריטיש איירווייס (BA) הכירה במעורבותה במצב המצוקה. עם כוח עבודה של 34,000 אנשים בבריטניה, חשיפת חברת התעופה להפרה מדאיגה מאוד.
גם ה-BBC ובוטס, הידועים בצוות הנרחב שלהם המונה 50,000 עובדים, מצאו את עצמם מסובכים בכאוס. בעוד שהשדרן הביע הקלה שפרטי הבנק של עובדיו נותרו מאובטחים, זיהוי החברה ומספרי הביטוח הלאומי נפגעו. Aer Lingus, חברה בת של BA, אישרה כי התקרית השפיעה על אנשי הצוות הנוכחיים והן לשעבר. עם זאת, שום מידע פיננסי או בנקאי או מספרי טלפון לא נפגעו באירוע המדאיג הזה.
הפגיעות של יום האפס במוצר MOVEit Transfer של Progress Software השפיעה באופן משמעותי על חברות רבות ברחבי העולם. עם זאת, גורמים בחברה הדגישו כי כל התוכנות שבבעלות Zellis לא מושפעות, ולא דווחו תקריות או פשרות ביחס לכל היבט אחר של תשתית ה-IT שלה.
התעמקות במקורות ההתקפה: אשכול איומים עם קישורים רוסים פוטנציאליים
ממצאים אחרונים של חברת אבטחת הסייבר Maidant שופכים אור על מקורות המתקפה, ומזהים אותה כ"אשכול איומים חדש שנוצר" בשם UNC4857. אשכול זה כולל קבוצות פושעי סייבר ידועות, כגון FIN11 , TA505 ו- Clop , אשר יצרו קשרים לרוסיה. עם זאת, המניע מאחורי המתקפה, בין אם הוא מונע על ידי יעדים פוליטיים או פיננסיים, עדיין לא ברור. בעוד ש-FIN11 פעל בעבר אך ורק כארגון פשע המעורב בכופר נתונים, הוא מעלה את השאלה האם רשתות הפשיעה המוכרות הללו עומדות מאחורי התקרית או אם מעורבים שכירי חרב סייבר בעלי מניעים אידיאולוגיים.
באופן מעניין, היקף הקורבנות שהושפעו מהתקפת MOVEit משתרע מעבר למטרות הצפויות. ממשלת נובה סקוטיה, יעד לא סביר לשחקן הנתמך על ידי המדינה, נפלה גם היא קורבן. דיווחים מצביעים על כך שלמתקפה הייתה פוטנציאל לסכן כ-2,500 שרתי MOVEit, מה שמגביר את היקף ההשפעה וההשפעה של הפרצה. Ipswitch, מפתחת תוכנת ניהול ה-IT, טרם חשפה את מספר החברות שהשתמשו בתוכנה שלהן בזמן התקרית לפני הטמעת תיקון.
מה צפוי לקורבנות: השלכות ותחזית
ככל שהמצב מתפתח, ארגוני הקורבנות חייבים להיערך לניסיונות סחיטה פוטנציאליים, חשיפה פומבית של נתונים גנובים והאפשרות להתבייש פומבית על ידי שחקן האיום. ככל הנראה, פושעי הסייבר יזמו בקרוב קשר עם קורבנותיהם, יגישו דרישות סחיטה ויתמקדו באופן שיטתי באלה שברשימה שלהם. כדי להתגונן מפני נזק נוסף, מומלץ לכל הארגונים, ללא קשר למועד תיקון התוכנה, לבצע ניתוח משפטי יסודי של המערכות שלהם אם ממשק האינטרנט של MOVEit היה חשוף לאינטרנט.
חשיפת הפרת אבטחת הסייבר: BA, BBC ו-Boots חושפים את פרטי הקשר והבנק צילומי מסך
