Kazalo
Izkoriščanje ranljivosti programske opreme MOVEit Transfer razkriva občutljive podatke podjetij v Združenem kraljestvu in ogroža varnost zaposlenih
Več uglednih britanskih podjetij, vključno z BBC, British Airways, Boots in Aer Lingus, je postalo žrtev pomembnega kibernetskega incidenta. Kršitev je osebne podatke zaposlenih, vključno z občutljivimi podatki, kot so bančni in kontaktni podatki, izpostavila zlonamernim hekerjem. Ta kršitev kibernetske varnosti je bila pripisana skupini izsiljevalske programske opreme, znani kot Clop, ki je posebej ciljala na ranljivosti programske opreme za prenos datotek MOVEit. Incident je sprožil pomisleke glede varnosti podatkov podjetja in morebitnega vpliva na prizadete zaposlene.
V drzni izjavi, poslani po e-pošti Reutersu, so hekerji ponosno prevzeli odgovornost za napad in izdali srhljivo opozorilo, da bodo tisti, ki si bodo drznili kljubovati njihovim zahtevam po odkupnini, izpostavljeni javnosti na spletni strani njihove skupine. Prejšnje preiskave Microsofta so že kazale na rusko govorečo združbo z izsiljevalsko programsko opremo , kar je namigovalo na njihovo vpletenost v incident. Šokantno razkritje se je razkrilo prejšnji teden, ko so strokovnjaki za kibernetsko varnost razkrili izkoriščanje ranljivosti ničelnega dne – nevarne napake – znotraj široko uporabljanega sistema za prenos datotek, znanega kot MOVEit, ki ga je razvilo podjetje Progress Software. Ta ranljivost je bila prehod za kibernetske kriminalce, da so se infiltrirali in izvlekli občutljive informacije iz številnih svetovnih podjetij, ki so se zanašala na MOVEit Transfer.
Nešteto organizacij postane žrtev širokega vpliva
Šokantno razkritje se je razkrilo v ponedeljek, ko je britanski ponudnik plačilnih storitev Zellis potrdil, da je bilo osem njegovih strank žrtev kibernetskega incidenta. Medtem ko imena prizadetih organizacij niso bila razkrita, je British Airways (BA) priznal svojo vpletenost v zaskrbljujoče razmere. Ker je v Združenem kraljestvu zaposlenih 34.000 ljudi, je izpostavljenost letalske družbe kršitvi zelo zaskrbljujoča.
BBC in Boots, znan po 50.000 zaposlenih, sta se prav tako znašla v kaosu. Medtem ko je izdajatelj televizijskega programa izrazil olajšanje, ker so bančni podatki njegovih zaposlenih ostali varni, so bile identifikacija podjetja in številke nacionalnega zavarovanja ogrožene. Aer Lingus, hčerinska družba BA, je potrdila, da je incident prizadel sedanje in nekdanje člane osebja. Vendar pa v tem zaskrbljujočem dogodku niso bili ogroženi nobeni finančni ali bančni podatki ali telefonske številke.
Ranljivost ničelnega dne v izdelku MOVEit Transfer podjetja Progress Software je močno vplivala na številna podjetja po vsem svetu. Vendar so uradniki podjetja poudarili, da vsa programska oprema v lasti Zellisa ostaja nespremenjena in da ni bilo poročil o nobenih incidentih ali ogrožanjih v zvezi s katerim koli drugim vidikom njegove IT infrastrukture.
Poglabljanje v izvor napadov: grozd z možnimi ruskimi povezavami
Nedavne ugotovitve podjetja Maidant, ki se ukvarja s kibernetsko varnostjo, so osvetlile izvor napada in ga identificirale kot "na novo ustvarjeno skupino groženj", imenovano UNC4857. Ta grozd obsega znane kibernetske kriminalne skupine, kot so FIN11 , TA505 in Clop , ki so vzpostavile povezave z Rusijo. Vendar motiv za napad, ne glede na to, ali ga vodijo politični ali finančni cilji, ostaja negotov. Čeprav je FIN11 prej deloval izključno kot kriminalna združba, ki se je ukvarjala z odkupovanjem podatkov, se postavlja vprašanje, ali za incidentom stojijo te znane kriminalne mreže ali pa so vpleteni kibernetski plačanci z ideološkimi motivi.
Zanimivo je, da obseg žrtev, ki jih napad MOVEit prizadene, presega pričakovane cilje. Žrtev je bila tudi vlada Nove Škotske, malo verjetna tarča za akterja, ki ga podpira država. Poročila kažejo, da je napad lahko ogrozil približno 2500 strežnikov MOVEit, kar je povečalo obseg in vpliv kršitve. Ipswitch, razvijalec programske opreme za upravljanje IT, še ni razkril števila podjetij, ki so uporabljala njihovo programsko opremo v času incidenta, preden je izvedel popravek.
Kaj je pred žrtvami: posledice in obeti
Ko se situacija odvija, se morajo organizacije žrtev pripraviti na morebitne poskuse izsiljevanja, javno razkritje ukradenih podatkov in možnost, da jih akter grožnje javno osramoti. Najverjetneje bodo kibernetski kriminalci kmalu stopili v stik s svojimi žrtvami, zahtevali izsiljevanje in sistematično ciljali na tiste na svojem seznamu. Za zaščito pred nadaljnjo škodo je priporočljivo, da vse organizacije, ne glede na to, kdaj je bila programska oprema popravljena, izvedejo temeljito forenzično analizo svojih sistemov, če je bil spletni vmesnik MOVEit izpostavljen internetu.
Razkritje kršitve kibernetske varnosti: BA, BBC in Boots razkrivajo kontaktne in bančne podatke posnetkov zaslona
