Sadržaj
Iskorištavanje ranjivosti softvera MOVEit Transfer otkriva osjetljive podatke britanskih tvrtki i ugrožava sigurnost zaposlenika
Nekoliko istaknutih britanskih kompanija, uključujući BBC, British Airways, Boots i Aer Lingus, postale su žrtve značajnog cyber incidenta. Povreda je zlonamjernim hakerima izložila osobne podatke zaposlenika, uključujući osjetljive podatke poput bankovnih podataka i podataka za kontakt. Ovo kršenje kibernetičke sigurnosti pripisuje se skupini ransomwarea poznatoj kao Clop, koja je posebno ciljala na ranjivosti softvera za prijenos datoteka MOVEit. Incident je izazvao zabrinutost u pogledu sigurnosti podataka tvrtke i mogućeg utjecaja na pogođene zaposlenike.
U odvažnoj izjavi poslanoj e-poštom Reutersu, hakeri su ponosno preuzeli odgovornost za napad, izdajući jezivo upozorenje da će se oni koji se usude oglušiti na njihove zahtjeve za otkupninom suočiti s javnošću na web stranici njihove grupe. Prethodne istrage Microsofta već su uprle prstom u bandu ransomwarea koja govori ruski, nagovještavajući njihovu umiješanost u incident. Šokantno otkriće pojavilo se prošlog tjedna kada su stručnjaci za kibernetičku sigurnost otkrili iskorištavanje ranjivosti nultog dana — opasne greške — unutar naširoko korištenog sustava za prijenos datoteka poznatog kao MOVEit, koji je razvio Progress Software. Ova ranjivost bila je ulaz za cyber kriminalce da se infiltriraju i izvuku osjetljive informacije iz brojnih globalnih tvrtki koje se oslanjaju na MOVEit Transfer.
Bezbrojne organizacije postaju žrtve široko rasprostranjenog utjecaja
Šokantno otkriće pojavilo se u ponedjeljak kada je pružatelj usluga obračuna plaća Zellis sa sjedištem u Velikoj Britaniji potvrdio da je osam njegovih klijenata postalo žrtvama cyber incidenta. Iako imena pogođenih organizacija nisu objavljena, British Airways (BA) priznao je svoju umiješanost u uznemirujuću situaciju. S radnom snagom od 34.000 pojedinaca u Ujedinjenom Kraljevstvu, izloženost zrakoplovne kompanije kršenju je duboko zabrinjavajuća.
BBC i Boots, poznati po velikom broju od 50.000 zaposlenika, također su se našli upleteni u kaos. Dok je emiter izrazio olakšanje što su bankovni podaci njegovih zaposlenika ostali sigurni, identifikacija tvrtke i brojevi nacionalnog osiguranja bili su ugroženi. Aer Lingus, podružnica BA-a, potvrdio je da je incident utjecao i na sadašnje i na bivše članove osoblja. Međutim, nikakvi financijski ili bankovni podaci ili telefonski brojevi nisu bili ugroženi u ovom alarmantnom događaju.
Ranjivost nultog dana u proizvodu MOVEit Transfer tvrtke Progress Software značajno je utjecala na brojne tvrtke diljem svijeta. Međutim, dužnosnici tvrtke naglasili su da sav softver u vlasništvu Zellisa ostaje nepromijenjen te da nije bilo prijavljenih incidenata ili kompromisa u vezi s bilo kojim drugim aspektom njegove IT infrastrukture.
Istraživanje izvora napada: grozd prijetnji s potencijalnim ruskim vezama
Nedavni nalazi tvrtke za kibernetičku sigurnost Maidant rasvijetlili su podrijetlo napada, identificirajući ga kao "novostvoreni klaster prijetnji" nazvan UNC4857. Ovaj klaster uključuje poznate kibernetičke kriminalne skupine, kao što su FIN11 , TA505 i Clop , koje su uspostavile veze s Rusijom. Međutim, motiv napada, bilo da je vođen političkim ili financijskim ciljevima, ostaje neizvjestan. Iako je FIN11 prethodno djelovao isključivo kao kriminalna organizacija koja se bavi otkupninom podataka, postavlja se pitanje stoje li iza incidenta te poznate kriminalne mreže ili su umiješani cyber plaćenici s ideološkim motivima.
Zanimljivo je da se opseg žrtava pogođenih napadom MOVEit proteže izvan očekivanih ciljeva. Vlada Nove Škotske, malo vjerojatna meta za glumca kojeg podupire država, također je postala žrtva. Izvješća pokazuju da je napad imao potencijal kompromitirati oko 2500 MOVEit poslužitelja, pojačavajući razmjer i učinak provale. Ipswitch, programer softvera za upravljanje IT-om, tek treba otkriti broj tvrtki koje su koristile njihov softver u vrijeme incidenta prije implementacije popravka.
Što je pred žrtvama: implikacije i izgledi
Kako se situacija razvija, organizacije žrtve moraju se pripremiti za moguće pokušaje iznude, javno izlaganje ukradenih podataka i mogućnost da ih prijetnja javno osramoti. Vjerojatno će kibernetički kriminalci uskoro stupiti u kontakt sa svojim žrtvama, postavljati zahtjeve za iznuđivanjem i sustavno ciljati one na njihovom popisu. Kako bi se zaštitili od daljnje štete, preporučuje se da sve organizacije, bez obzira na to kada je softver zakrpan, provedu temeljitu forenzičku analizu svojih sustava ako je MOVEit web sučelje bilo izloženo internetu.
Otkrivanje povrede kibernetičke sigurnosti: BA, BBC i Boots otkrivaju kontakte i bankovne podatke Snimaka Zaslona
