Tartalomjegyzék
A MOVEit Transfer szoftver sebezhetőségének kihasználása az egyesült királyságbeli cégek érzékeny adatait fedi fel, és veszélyezteti az alkalmazottak biztonságát
Számos prominens brit vállalat, köztük a BBC, a British Airways, a Boots és az Aer Lingus esett áldozatul egy jelentős kiberincidensnek. A jogsértés következtében az alkalmazottak személyes adatai, köztük az olyan érzékeny adatok, mint a banki adatok és a kapcsolattartási adatok, rosszindulatú hackerek elé kerültek. Ezt a kiberbiztonsági incidenst a Clop néven ismert ransomware csoportnak tulajdonították, amely kifejezetten a MOVEit fájlátviteli szoftver sebezhetőségét célozta. Az incidens aggodalomra adott okot a vállalati adatok biztonságával és az érintett munkavállalókra gyakorolt lehetséges hatással kapcsolatban.
A Reutersnek e-mailben elküldött merész nyilatkozatban a hackerek büszkén vállalták a felelősséget a támadásért, és kiadtak egy borzongató figyelmeztetést, miszerint azokat, akik szembe merészelnek szegülni a váltságdíj követeléseivel, nyilvánosan nyilvánosságra hozzák a csoportjuk honlapján. A Microsoft korábbi vizsgálatai már rámutattak egy oroszul beszélő ransomware bandára, utalva az incidensben való részvételükre. A megdöbbentő leleplezés a múlt héten bontakozott ki, amikor a kiberbiztonsági szakértők bemutatták a Progress Software által kifejlesztett, széles körben használt, MOVEit néven ismert fájlátviteli rendszer nulladik napi sebezhetőségének – egy veszélyes hibának – kihasználását. Ez a sérülékenység volt az átjáró a kiberbűnözők számára, hogy beszivárogjanak és érzékeny információkat szerezzenek ki számos, a MOVEit Transferre támaszkodó globális vállalattól.
Számtalan szervezet esik áldozatul a széles körű hatásnak
A megdöbbentő leleplezés hétfőn bontakozott ki, amikor a brit Zellis bérszámfejtő szolgáltató megerősítette, hogy nyolc ügyfele esett áldozatul a kiberincidensnek. Bár az érintett szervezetek nevét nem hozták nyilvánosságra, a British Airways (BA) elismerte, hogy részt vesz a szorongató helyzetben. Mivel az Egyesült Királyságban 34 000 főt foglalkoztatnak, a légitársaság kitettsége a jogsértésnek mélyen aggasztó.
A BBC és a kiterjedt, 50 000 alkalmazottat számláló Boots is belegabalyodott a káoszba. Míg a műsorszolgáltató megkönnyebbülését fejezte ki amiatt, hogy alkalmazottai banki adatai biztonságban maradtak, a cégazonosító és a nemzeti biztosítási számok veszélybe kerültek. Az Aer Lingus, a BA leányvállalata megerősítette, hogy az incidens mind a jelenlegi, mind a korábbi munkatársakat érintette. Ebben a riasztó eseményben azonban semmilyen pénzügyi vagy banki információ vagy telefonszám nem került veszélybe.
A Progress Software MOVEit Transfer termékének nulladik napi sebezhetősége számos vállalatot érintett világszerte. A cég tisztviselői azonban hangsúlyozták, hogy a Zellis tulajdonában lévő összes szoftver érintetlen marad, és nem jelentettek incidenseket vagy kompromisszumokat az IT-infrastruktúra más aspektusaival kapcsolatban.
Elmélyedés a támadások eredetében: potenciális orosz kapcsolatokkal rendelkező fenyegetéscsoport
A Maidant kiberbiztonsági cég legújabb megállapításai rávilágítottak a támadás eredetére, és az UNC4857 nevű "újonnan létrehozott fenyegetés-klaszterként" azonosították. Ez a klaszter olyan ismert kiberbűnözői csoportokat foglal magában, mint a FIN11 , TA505 és Clop , amelyek kapcsolatokat építettek ki Oroszországgal. A támadás mögött meghúzódó indíték azonban – akár politikai, akár pénzügyi célokból – továbbra is bizonytalan. Míg a FIN11 korábban kizárólag adatváltságdíjjal foglalkozó bűnszervezetként működött, felveti a kérdést, vajon ezek az ismerős bűnözői hálózatok állnak-e az incidens hátterében, vagy ideológiai indíttatású kiberzsoldosok vesznek részt.
Érdekes módon a MOVEit támadás által érintett áldozatok köre túlmutat a várható célpontokon. Új-Skócia kormánya is áldozatul esett, amely egy államilag támogatott színész számára valószínűtlen célpont. A jelentések azt mutatják, hogy a támadás körülbelül 2500 MOVEit-kiszolgálót veszélyeztethetett, ami felerősítette a jogsértés mértékét és hatását. Az Ipswitch, az informatikai menedzsmentszoftver-fejlesztő, még nem hozta nyilvánosságra, hogy az incidens idején hány cégek használták szoftverüket a javítás bevezetése előtt.
Mi vár az áldozatokra: következmények és kilátások
A helyzet kialakulása során az áldozatszervezeteknek fel kell készülniük az esetleges zsarolási kísérletekre, az ellopott adatok nyilvánosságra hozatalára és annak lehetőségére, hogy a fenyegetőző nyilvánosan megszégyenüljön. Valószínűleg a kiberbűnözők hamarosan kapcsolatba lépnek áldozataikkal, zsarolási követeléseket támasztanak, és szisztematikusan megcélozzák a listán szereplőket. A további károk elkerülése érdekében javasolt, hogy a szoftver javításának időpontjától függetlenül minden szervezet végezzen alapos kriminalisztikai elemzést rendszerében, ha a MOVEit webes felülete ki volt téve az internetnek.
A kiberbiztonsági megsértés leleplezése: a BA, a BBC és a Boots nyilvánosságra hozta kapcsolatfelvételi és banki adatait képernyőkép
