Obsah
Využitie zraniteľnosti softvéru MOVEit Transfer odhaľuje citlivé údaje britských firiem a ohrozuje bezpečnosť zamestnancov
Niekoľko popredných britských spoločností vrátane BBC, British Airways, Boots a Aer Lingus sa stalo obeťou významného kybernetického incidentu. Porušenie odhalilo osobné údaje zamestnancov vrátane citlivých údajov, ako sú bankové a kontaktné údaje, škodlivým hackerom. Toto porušenie kybernetickej bezpečnosti bolo pripísané skupine ransomvéru známej ako Clop, ktorá sa špecificky zamerala na zraniteľné miesta softvéru na prenos súborov MOVEit. Incident vyvolal obavy týkajúce sa bezpečnosti údajov spoločnosti a možného vplyvu na dotknutých zamestnancov.
V odvážnom vyhlásení zaslanom e-mailom agentúre Reuters sa hackeri hrdo prihlásili k zodpovednosti za útok a vydali mrazivé varovanie, že tí, ktorí sa odvážia vzoprieť sa ich požiadavkám na výkupné, budú čeliť verejnému odhaleniu na webovej stránke ich skupiny. Predchádzajúce vyšetrovanie spoločnosti Microsoft už poukázalo na rusky hovoriaci gang ransomvéru , čo naznačuje ich účasť na incidente. Šokujúce odhalenie sa objavilo minulý týždeň, keď experti na kybernetickú bezpečnosť odhalili zneužitie zero-day zraniteľnosti – nebezpečnej chyby – v rámci široko používaného systému prenosu súborov známeho ako MOVEit, vyvinutého spoločnosťou Progress Software. Táto zraniteľnosť bola pre kybernetických zločincov vstupnou bránou na infiltráciu a extrakciu citlivých informácií z mnohých globálnych spoločností, ktoré sa spoliehajú na MOVEit Transfer.
Nespočetné množstvo organizácií sa stáva obeťou širokého dosahu
Šokujúce odhalenie sa objavilo v pondelok, keď britský poskytovateľ miezd Zellis potvrdil, že obeťou kybernetického incidentu sa stalo osem jeho klientov. Zatiaľ čo mená dotknutých organizácií neboli zverejnené, British Airways (BA) priznali svoju účasť v tiesnivej situácii. S 34 000 zamestnancami v Spojenom kráľovstve je vystavenie leteckej spoločnosti narušeniu veľmi znepokojujúce.
V chaose sa ocitli aj BBC a Boots, známe svojim rozsiahlym personálom 50 000 zamestnancov. Zatiaľ čo vysielateľ vyjadril úľavu, že bankové údaje jeho zamestnancov zostali v bezpečí, identifikácia spoločnosti a čísla národného poistenia boli ohrozené. Aer Lingus, dcérska spoločnosť BA, potvrdila, že incident zasiahol súčasných aj bývalých zamestnancov. Pri tejto alarmujúcej udalosti však neboli ohrozené žiadne finančné alebo bankové informácie ani telefónne čísla.
Zraniteľnosť nultého dňa v produkte MOVEit Transfer spoločnosti Progress Software výrazne ovplyvnila mnohé spoločnosti na celom svete. Predstavitelia spoločnosti však zdôraznili, že všetok softvér, ktorý vlastní Zellis, zostáva nedotknutý a neboli hlásené žiadne incidenty ani kompromisy v súvislosti s akýmkoľvek iným aspektom jej IT infraštruktúry.
Ponorenie sa do Origins útoku: Skupina hrozieb s potenciálnymi ruskými väzbami
Nedávne zistenia kybernetickej bezpečnostnej firmy Maidant vrhli svetlo na pôvod útoku a identifikovali ho ako „novo vytvorený klaster hrozieb“ s názvom UNC4857. Tento klaster zahŕňa známe kyberzločinecké skupiny, ako sú FIN11 , TA505 a Clop , ktoré nadviazali spojenia s Ruskom. Motív útoku, či už bol poháňaný politickými alebo finančnými cieľmi, však zostáva neistý. Zatiaľ čo FIN11 predtým fungovala výlučne ako zločinecká organizácia zapojená do vykupovania údajov, vyvoláva otázku, či za incidentom stoja tieto známe zločinecké siete, alebo či sú doň zapletení kybernetickí žoldnieri s ideologickými motívmi.
Zaujímavé je, že rozsah obetí zasiahnutých útokom MOVEit presahuje očakávané ciele. Obeťou sa stala aj vláda Nového Škótska, nepravdepodobný cieľ pre štátom podporovaného herca. Správy naznačujú, že útok mal potenciál ohroziť približne 2 500 serverov MOVEit, čím sa zväčšil rozsah a dosah narušenia. Ipswitch, vývojár softvéru na správu IT, ešte pred implementáciou opravy nezverejnil počet spoločností využívajúcich ich softvér v čase incidentu.
Čo čaká obete: dôsledky a vyhliadky
Ako sa situácia vyvíja, organizácie obetí sa musia pripraviť na potenciálne pokusy o vydieranie, verejné odhalenie ukradnutých údajov a možnosť byť verejne zahanbený aktérom hrozby. Je pravdepodobné, že kyberzločinci čoskoro nadviažu kontakt so svojimi obeťami, budú požadovať vydieranie a systematicky sa zameriavať na tých, ktorí sú na ich zozname. Na ochranu pred ďalším poškodením sa odporúča, aby všetky organizácie, bez ohľadu na to, kedy bol softvér opravený, vykonali dôkladnú forenznú analýzu svojich systémov, ak bolo webové rozhranie MOVEit vystavené internetu.
Odhalenie porušenia kybernetickej bezpečnosti: BA, BBC a Boots odhaľujú kontakt a bankové údaje snímok obrazovky
