Spis treści
Wykorzystanie luki w oprogramowaniu transferowym MOVEit ujawnia poufne dane brytyjskich firm i zagraża bezpieczeństwu pracowników
Kilka czołowych brytyjskich firm, w tym BBC, British Airways, Boots i Aer Lingus, padło ofiarą poważnego incydentu cybernetycznego. Naruszenie ujawniło dane osobowe pracowników, w tym dane wrażliwe, takie jak dane bankowe i kontaktowe, złośliwym hakerom. To naruszenie bezpieczeństwa cybernetycznego zostało przypisane grupie ransomware znanej jako Clop, która celowała w luki w oprogramowaniu do przesyłania plików MOVEit. Incydent wzbudził obawy dotyczące bezpieczeństwa danych firmowych i potencjalnego wpływu na dotkniętych nim pracowników.
W śmiałym oświadczeniu przesłanym e-mailem do agencji Reuters hakerzy z dumą przyznali się do ataku, wydając mrożące krew w żyłach ostrzeżenie, że ci, którzy odważą się przeciwstawić żądaniom okupu, zostaną ujawnieni publicznie na stronie internetowej swojej grupy. Wcześniejsze dochodzenia przeprowadzone przez Microsoft wskazywały już palcem na rosyjskojęzyczny gang ransomware , sugerując ich udział w incydencie. Szokujące odkrycie ujawniło się w zeszłym tygodniu, kiedy eksperci ds. cyberbezpieczeństwa ujawnili wykorzystanie luki zero-day — niebezpiecznej luki — w szeroko stosowanym systemie przesyłania plików znanym jako MOVEit, opracowanym przez Progress Software. Luka ta była bramą dla cyberprzestępców do infiltracji i wydobywania poufnych informacji od wielu globalnych firm polegających na MOVEit Transfer.
Niezliczone organizacje padają ofiarą powszechnego wpływu
Szokujące odkrycie ujawniło się w poniedziałek, gdy brytyjski dostawca usług płacowych Zellis potwierdził, że ośmiu jego klientów padło ofiarą cyberincydentu. Chociaż nazwy organizacji, których to dotyczy, nie zostały ujawnione, British Airways (BA) potwierdziło swój udział w tej niepokojącej sytuacji. Przy sile roboczej 34 000 osób w Wielkiej Brytanii narażenie linii lotniczej na naruszenie jest głęboko niepokojące.
BBC i Boots, znane z ogromnego personelu liczącego 50 000 pracowników, również znalazły się w chaosie. Podczas gdy nadawca wyraził ulgę, że dane bankowe jego pracowników pozostały bezpieczne, naruszono numery identyfikacyjne firmy i numery ubezpieczenia społecznego. Aer Lingus, spółka zależna BA, potwierdziła, że incydent dotyczył zarówno obecnych, jak i byłych pracowników. Jednak w tym alarmującym zdarzeniu żadne informacje finansowe ani bankowe ani numery telefonów nie zostały naruszone.
Luka dnia zerowego w produkcie MOVEit Transfer firmy Progress Software znacząco wpłynęła na wiele firm na całym świecie. Przedstawiciele firmy podkreślili jednak, że zmiana nie dotyczy całego oprogramowania należącego do Zellis i nie zgłoszono żadnych incydentów ani naruszeń bezpieczeństwa w odniesieniu do jakiegokolwiek innego aspektu jej infrastruktury IT.
Zagłębianie się w źródła ataków: klaster zagrożeń z potencjalnymi rosyjskimi powiązaniami
Ostatnie odkrycia firmy Maidant zajmującej się bezpieczeństwem cybernetycznym rzucają światło na pochodzenie ataku, identyfikując go jako „nowo utworzony klaster zagrożeń” o nazwie UNC4857. Klaster ten obejmuje znane grupy cyberprzestępcze, takie jak FIN11 , TA505 i Clop , które nawiązały połączenia z Rosją. Jednak motyw ataku, niezależnie od tego, czy jest motywowany celami politycznymi, czy finansowymi, pozostaje niepewny. Chociaż FIN11 wcześniej działał wyłącznie jako organizacja przestępcza zajmująca się wyłudzaniem danych, pojawia się pytanie, czy za incydentem stoją znane sieci przestępcze, czy też są w to zaangażowani cybernajemnicy z motywami ideologicznymi.
Co ciekawe, zakres ofiar dotkniętych atakiem MOVEit wykracza poza oczekiwane cele. Rząd Nowej Szkocji, mało prawdopodobny cel dla aktora wspieranego przez państwo, również padł ofiarą. Raporty wskazują, że atak mógł naruszyć bezpieczeństwo około 2500 serwerów MOVEit, zwiększając skalę i wpływ naruszenia. Ipswitch, twórca oprogramowania do zarządzania IT, nie ujawnił jeszcze liczby firm korzystających z ich oprogramowania w czasie incydentu przed wdrożeniem poprawki.
Co czeka ofiary: implikacje i perspektywy
W miarę rozwoju sytuacji organizacje będące ofiarami muszą przygotować się na potencjalne próby wyłudzenia, publiczne ujawnienie skradzionych danych oraz możliwość publicznego zawstydzenia ze strony cyberprzestępcy. Cyberprzestępcy prawdopodobnie wkrótce zaczną kontaktować się ze swoimi ofiarami, żądając wymuszenia i systematycznie atakując osoby znajdujące się na ich liście. Aby zabezpieczyć się przed dalszymi szkodami, zaleca się, aby wszystkie organizacje, niezależnie od tego, kiedy oprogramowanie zostało załatane, przeprowadziły dokładną analizę kryminalistyczną swoich systemów, jeśli interfejs sieciowy MOVEit był wystawiony na działanie Internetu.
Ujawnienie naruszenia bezpieczeństwa cybernetycznego: BA, BBC i Boots ujawniają dane kontaktowe i bankowe zrzutów ekranu
