Sommario
Lo sfruttamento della vulnerabilità del software di trasferimento MOVEit espone i dati sensibili delle aziende britanniche e mette in pericolo la sicurezza dei dipendenti
Diverse importanti aziende britanniche, tra cui BBC, British Airways, Boots e Aer Lingus, sono state vittime di un grave incidente informatico. La violazione ha esposto le informazioni personali dei dipendenti, inclusi dati sensibili come dettagli bancari e di contatto, a hacker malintenzionati. Questa violazione della sicurezza informatica è stata attribuita a un gruppo ransomware noto come Clop, che ha preso di mira specificamente le vulnerabilità del software di trasferimento file MOVEit. L'incidente ha sollevato preoccupazioni per quanto riguarda la sicurezza dei dati aziendali e il potenziale impatto sui dipendenti interessati.
In un'audace dichiarazione inviata via e-mail a Reuters, gli hacker hanno rivendicato con orgoglio la responsabilità dell'attacco, lanciando un agghiacciante avvertimento che coloro che avessero osato sfidare le loro richieste di riscatto sarebbero stati esposti pubblicamente sul sito web del loro gruppo. Precedenti indagini di Microsoft avevano già puntato il dito contro una banda di ransomware di lingua russa, suggerendo il loro coinvolgimento nell'incidente. La scioccante rivelazione è avvenuta la scorsa settimana quando gli esperti di sicurezza informatica hanno svelato lo sfruttamento di una vulnerabilità zero-day, un pericoloso difetto, all'interno del sistema di trasferimento file ampiamente utilizzato noto come MOVEit, sviluppato da Progress Software. Questa vulnerabilità è stata la porta per i criminali informatici per infiltrarsi ed estrarre informazioni sensibili da numerose aziende globali che si affidano a MOVEit Transfer.
Innumerevoli organizzazioni sono vittime dell'impatto diffuso
La rivelazione scioccante si è svolta lunedì quando il fornitore di buste paga con sede nel Regno Unito Zellis ha confermato che otto dei suoi clienti erano rimasti vittime dell'incidente informatico. Sebbene i nomi delle organizzazioni interessate non siano stati resi noti, British Airways (BA) ha riconosciuto il suo coinvolgimento nella situazione angosciante. Con una forza lavoro di 34.000 persone nel Regno Unito, l'esposizione della compagnia aerea alla violazione è profondamente preoccupante.
Anche la BBC e Boots, noti per il loro ampio staff di 50.000 dipendenti, si sono trovati invischiati nel caos. Mentre l'emittente ha espresso sollievo per il fatto che i dati bancari dei suoi dipendenti siano rimasti al sicuro, l'identificazione dell'azienda e i numeri di previdenza sociale sono stati compromessi. Aer Lingus, una sussidiaria di BA, ha confermato che l'incidente ha colpito sia membri attuali che ex membri del personale. Tuttavia, nessuna informazione finanziaria o bancaria o numero di telefono è stata compromessa in questo evento allarmante.
La vulnerabilità zero-day nel prodotto MOVEit Transfer di Progress Software ha avuto un impatto significativo su numerose aziende a livello globale. Tuttavia, i funzionari dell'azienda hanno sottolineato che tutto il software di proprietà di Zellis rimane inalterato e non sono stati segnalati incidenti o compromissioni in relazione a qualsiasi altro aspetto della sua infrastruttura IT.
Approfondire le origini dell'attacco: un cluster di minacce con potenziali collegamenti russi
Recenti scoperte della società di sicurezza informatica Maidant hanno fatto luce sulle origini dell'attacco, identificandolo come un "cluster di minacce appena creato" chiamato UNC4857. Questo cluster comprende noti gruppi di criminali informatici, come FIN11 , TA505 e Clop , che hanno stabilito collegamenti con la Russia. Tuttavia, il motivo dietro l'attacco, guidato da obiettivi politici o finanziari, rimane incerto. Sebbene FIN11 abbia precedentemente operato esclusivamente come organizzazione criminale coinvolta nel riscatto di dati, solleva la questione se queste reti criminali familiari siano dietro l'incidente o se siano coinvolti mercenari informatici con motivazioni ideologiche.
È interessante notare che l'ambito delle vittime colpite dall'attacco MOVEit si estende oltre gli obiettivi previsti. Anche il governo della Nuova Scozia, un obiettivo improbabile per un attore sostenuto dallo stato, ne è caduto vittima. I rapporti indicano che l'attacco aveva il potenziale per compromettere circa 2.500 server MOVEit, amplificando la portata e l'impatto della violazione. Ipswitch, lo sviluppatore del software di gestione IT, deve ancora rivelare il numero di aziende che utilizzavano il loro software al momento dell'incidente prima di implementare una soluzione.
Cosa si prospetta per le vittime: implicazioni e prospettive
Man mano che la situazione si evolve, le organizzazioni delle vittime devono prepararsi a potenziali tentativi di estorsione, all'esposizione pubblica di dati rubati e alla possibilità di essere pubblicamente svergognate dall'autore della minaccia. È probabile che i cybercriminali avvieranno presto un contatto con le loro vittime, facendo richieste di estorsione e prendendo di mira sistematicamente coloro che sono nella loro lista. Per proteggersi da ulteriori danni, si consiglia a tutte le organizzazioni, indipendentemente da quando il software è stato aggiornato, di condurre un'analisi forense approfondita dei propri sistemi se l'interfaccia Web MOVEit è stata esposta a Internet.
Svelare la violazione della sicurezza informatica: BA, BBC e Boots espongono i dettagli di contatto e bancari screenshot
