Cuprins
Exploatarea vulnerabilității software-ului MOVEit Transfer expune datele sensibile ale firmelor din Marea Britanie și pune în pericol securitatea angajaților
Mai multe companii importante din Marea Britanie, inclusiv BBC, British Airways, Boots și Aer Lingus, au căzut victimele unui incident cibernetic semnificativ. Încălcarea a expus informațiilor personale ale angajaților, inclusiv date sensibile, cum ar fi datele bancare și de contact, hackerilor rău intenționați. Această încălcare a securității cibernetice a fost atribuită unui grup de ransomware cunoscut sub numele de Clop, care a vizat în mod special vulnerabilitățile software-ului de transfer de fișiere MOVEit. Incidentul a stârnit îngrijorări cu privire la securitatea datelor companiei și la impactul potențial asupra angajaților afectați.
Într-o declarație îndrăzneață trimisă prin e-mail către Reuters, hackerii și-au revendicat cu mândrie responsabilitatea pentru atac, lansând un avertisment înfiorător că cei care au îndrăznit să-și sfideze cererile de răscumpărare vor fi expuși public pe site-ul web al grupului lor. Investigațiile anterioare ale Microsoft au arătat deja cu degetul către o bandă de ransomware vorbitor de limbă rusă, sugerând implicarea lor în incident. Dezvăluirea șocantă a avut loc săptămâna trecută, când experții în securitate cibernetică au dezvăluit exploatarea unei vulnerabilități zero-day — un defect periculos — în cadrul sistemului de transfer de fișiere utilizat pe scară largă cunoscut sub numele de MOVEit, dezvoltat de Progress Software. Această vulnerabilitate a fost poarta de acces pentru infractorii cibernetici pentru a se infiltra și a extrage informații sensibile de la numeroase companii globale care se bazează pe MOVEit Transfer.
Nenumărate organizații cad victime ale impactului larg răspândit
Dezvăluirea șocantă a avut loc luni, când furnizorul de salarii Zellis din Marea Britanie a confirmat că opt dintre clienții săi au căzut victime ale incidentului cibernetic. Deși numele organizațiilor afectate nu au fost dezvăluite, British Airways (BA) și-a recunoscut implicarea în situația supărătoare. Cu o forță de muncă de 34.000 de persoane în Marea Britanie, expunerea companiei aeriene la încălcare este profund îngrijorătoare.
BBC și Boots, cunoscuți pentru personalul extins de 50.000 de angajați, s-au trezit și ei încurși în haos. În timp ce radiodifuzorul și-a exprimat ușurarea că datele bancare ale angajaților săi rămân în siguranță, datele de identificare ale companiei și numerele naționale de asigurări au fost compromise. Aer Lingus, o subsidiară a BA, a confirmat că incidentul a afectat atât actualii, cât și foștii membri ai personalului. Cu toate acestea, nu au fost compromise informații financiare sau bancare sau numere de telefon în acest eveniment alarmant.
Vulnerabilitatea zero-day din produsul MOVEit Transfer de la Progress Software a afectat semnificativ numeroase companii la nivel global. Cu toate acestea, oficialii companiei au subliniat că tot software-ul deținut de Zellis rămâne neafectat și nu au fost raportate incidente sau compromisuri în legătură cu orice alt aspect al infrastructurii sale IT.
Aprofundarea în Originile atacului: un grup de amenințări cu potențiale legături rusești
Descoperirile recente de la firma de securitate cibernetică Maidant aruncă lumină asupra originii atacului, identificându-l ca un „cluster de amenințări nou creat” numit UNC4857. Acest cluster cuprinde grupuri cunoscute de criminali cibernetici, cum ar fi FIN11 , TA505 și Clop , care au stabilit conexiuni cu Rusia. Cu toate acestea, motivul din spatele atacului, indiferent dacă este determinat de obiective politice sau financiare, rămâne incert. În timp ce FIN11 a funcționat anterior doar ca o organizație criminală implicată în răscumpărarea datelor, ridică întrebarea dacă aceste rețele criminale familiare se află în spatele incidentului sau dacă sunt implicați mercenari cibernetici cu motive ideologice.
Interesant este că sfera victimelor afectate de atacul MOVEit se extinde dincolo de țintele așteptate. Guvernul din Noua Scoție, o țintă puțin probabilă pentru un actor susținut de stat, a căzut și el victimă. Rapoartele indică faptul că atacul a avut potențialul de a compromite aproximativ 2.500 de servere MOVEit, amplificând amploarea și impactul încălcării. Ipswitch, dezvoltatorul de software de management IT, încă nu a dezvăluit numărul de companii care le-au folosit software-ul în momentul incidentului înainte de a implementa o remediere.
Ce urmează pentru victime: Implicații și perspective
Pe măsură ce situația se desfășoară, organizațiile victime trebuie să se pregătească pentru potențiale tentative de extorcare, expunerea publică a datelor furate și posibilitatea de a fi derușite public de actorul amenințării. Probabil, infractorii cibernetici vor iniția în curând contactul cu victimele lor, facând cereri de extorcare și țintindu-i sistematic pe cei de pe lista lor. Pentru a se proteja împotriva daunelor ulterioare, se recomandă ca toate organizațiile, indiferent de momentul în care software-ul a fost corectat, să efectueze o analiză criminalistică aprofundată a sistemelor lor dacă interfața web MOVEit a fost expusă la internet.
Dezvăluirea încălcării securității cibernetice: BA, BBC și Boots Expune Contact și detalii bancare de capturi de ecran
