Оглавление
Эксплуатация уязвимости в программном обеспечении MOVEit Transfer раскрывает конфиденциальные данные британских фирм и ставит под угрозу безопасность сотрудников
Несколько известных британских компаний, в том числе BBC, British Airways, Boots и Aer Lingus, стали жертвами серьезного кибер-инцидента. В результате взлома личная информация сотрудников, включая конфиденциальные данные, такие как банковские и контактные данные, стала доступной для злоумышленников. Это нарушение кибербезопасности было приписано группе программ-вымогателей, известной как Clop, которая специально нацелена на уязвимости программного обеспечения для передачи файлов MOVEit. Инцидент вызвал обеспокоенность по поводу безопасности данных компании и потенциального воздействия на пострадавших сотрудников.
В смелом заявлении, отправленном по электронной почте агентству Reuters, хакеры с гордостью взяли на себя ответственность за атаку, выпустив пугающее предупреждение о том, что те, кто осмелится бросить вызов их требованиям о выкупе, столкнутся с публичным разоблачением на веб-сайте их группы. Предыдущие расследования Microsoft уже указывали на русскоязычную банду вымогателей , намекая на их причастность к инциденту. Шокирующее открытие произошло на прошлой неделе, когда эксперты по кибербезопасности раскрыли использование уязвимости нулевого дня — опасной уязвимости — в широко используемой системе передачи файлов, известной как MOVEit, разработанной Progress Software. Эта уязвимость позволила киберпреступникам проникнуть и извлечь конфиденциальную информацию из многочисленных глобальных компаний, полагающихся на MOVEit Transfer.
Бесчисленные организации становятся жертвами широкомасштабного воздействия
Шокирующее разоблачение произошло в понедельник, когда британский поставщик заработной платы Zellis подтвердил, что восемь его клиентов стали жертвами киберинцидента. Хотя названия пострадавших организаций не разглашаются, British Airways (BA) признала свою причастность к бедственной ситуации. С учетом того, что в Великобритании работает 34 000 человек, уязвимость авиакомпании к взлому вызывает глубокую обеспокоенность.
BBC и Boots, известные своим обширным штатом из 50 000 сотрудников, также оказались втянутыми в хаос. В то время как телекомпания выразила облегчение по поводу того, что банковские реквизиты ее сотрудников остались в безопасности, идентификационные данные компании и номера национального страхования были скомпрометированы. Aer Lingus, дочерняя компания BA, подтвердила, что инцидент затронул как нынешних, так и бывших сотрудников. Однако в ходе этого тревожного события не были скомпрометированы ни финансовая, ни банковская информация, ни телефонные номера.
Уязвимость нулевого дня в продукте MOVEit Transfer компании Progress Software серьезно повлияла на многие компании по всему миру. Однако официальные лица компании подчеркнули, что все программное обеспечение, принадлежащее Zellis, остается в силе, и не было сообщений об инцидентах или компрометациях в отношении любого другого аспекта ее ИТ-инфраструктуры.
Разбираемся в происхождении атаки: кластер угроз с потенциальными связями с Россией
Недавние выводы компании Maidant, занимающейся кибербезопасностью, проливают свет на происхождение атаки, идентифицируя ее как «недавно созданный кластер угроз» под названием UNC4857. В этот кластер входят известные киберпреступные группировки, такие как FIN11 , TA505 и Clop , которые установили связи с Россией. Однако мотив нападения, будь то политические или финансовые цели, остается неясным. Хотя FIN11 ранее действовала исключительно как преступная организация, занимающаяся выкупом данных, возникает вопрос о том, стоят ли за инцидентом эти знакомые преступные сети или замешаны кибер-наемники с идеологическими мотивами.
Интересно, что количество жертв, затронутых атакой MOVEit, выходит за рамки ожидаемых целей. Правительство Новой Шотландии, маловероятная цель для поддерживаемого государством актера, также стало жертвой. В отчетах указывается, что атака могла скомпрометировать около 2500 серверов MOVEit, что увеличило масштабы и последствия взлома. Ipswitch, разработчик программного обеспечения для управления ИТ, еще не раскрыл количество компаний, использующих их программное обеспечение во время инцидента, прежде чем внедрить исправление.
Что ждет жертв впереди: последствия и перспективы
По мере развития ситуации организации-жертвы должны быть готовы к потенциальным попыткам вымогательства, публичному раскрытию украденных данных и возможности публичного осуждения со стороны злоумышленника. Скорее всего, киберпреступники вскоре вступят в контакт со своими жертвами, выдвигая требования о вымогательстве и систематически преследуя тех, кто находится в их списке. Во избежание дальнейшего ущерба всем организациям, независимо от времени установки исправлений, рекомендуется проводить тщательный судебный анализ своих систем, если веб-интерфейс MOVEit подвергался воздействию Интернета.
Обнаружение нарушения кибербезопасности: BA, BBC и Boots раскрывают контактные данные и банковские реквизиты Скриншотов
