Innehållsförteckning
Utnyttjande av MOVEit Transfer Software sårbarhet avslöjar känsliga data från brittiska företag och äventyrar anställdas säkerhet
Flera framstående brittiska företag, inklusive BBC, British Airways, Boots och Aer Lingus, har fallit offer för en betydande cyberincident. Intrånget har avslöjat anställdas personliga information, inklusive känsliga uppgifter som bank- och kontaktuppgifter, för illvilliga hackare. Detta cybersäkerhetsbrott har tillskrivits en ransomware-grupp känd som Clop, som specifikt riktade in sig på MOVEit-filöverföringsmjukvarans sårbarheter. Incidenten har väckt oro angående säkerheten för företagsdata och den potentiella påverkan på berörda anställda.
I ett djärvt uttalande skickat via e-post till Reuters tog hackarna stolt på sig ansvaret för attacken och utfärdade en skrämmande varning om att de som vågade trotsa sina krav på lösen skulle möta offentlig exponering på sin grupps hemsida. Tidigare undersökningar av Microsoft hade redan pekat fingrar åt ett rysktalande ransomware- gäng och antytt om deras inblandning i händelsen. Det chockerande avslöjandet avslöjades förra veckan när cybersäkerhetsexperter avslöjade utnyttjandet av en nolldagarssårbarhet – ett farligt fel – inom det mycket använda filöverföringssystemet som kallas MOVEit, utvecklat av Progress Software. Denna sårbarhet var porten för cyberbrottslingar att infiltrera och extrahera känslig information från många globala företag som förlitar sig på MOVEit Transfer.
Otaliga organisationer faller offer för den utbredda effekten
Det chockerande avslöjandet utvecklades på måndagen när den brittiska löneleverantören Zellis bekräftade att åtta av dess kunder hade fallit offer för cyberincidenten. Även om namnen på de drabbade organisationerna inte avslöjades, erkände British Airways (BA) sin inblandning i den oroande situationen. Med en arbetsstyrka på 34 000 personer i Storbritannien är flygbolagets exponering för intrånget djupt oroande.
BBC och Boots, kända för sin omfattande personal på 50 000 anställda, fann sig också intrasslade i kaoset. Medan sändningsföretaget uttryckte lättnad över att dess anställdas bankuppgifter förblev säkra, äventyrades företagsidentifikation och personförsäkringsnummer. Aer Lingus, ett dotterbolag till BA, bekräftade att incidenten påverkade både nuvarande och tidigare personal. Men ingen finansiell information eller bankinformation eller telefonnummer äventyrades i denna alarmerande händelse.
Nolldagarssårbarheten i Progress Softwares MOVEit Transfer-produkt har avsevärt påverkat många företag globalt. Företagets tjänstemän har dock betonat att all mjukvara som ägs av Zellis förblir opåverkad, och det har inte rapporterats några incidenter eller kompromisser i samband med någon annan aspekt av dess IT-infrastruktur.
Fördjupa dig i Attack Origins: A Threat Cluster with Potential Russian Links
Nya resultat från cybersäkerhetsföretaget Maidant kastar ljus över attackens ursprung och identifierar den som ett "nyskapat hotkluster" kallat UNC4857. Detta kluster omfattar kända cyberkriminella grupper, såsom FIN11 , TA505 och Clop , som har etablerat kopplingar till Ryssland. Men motivet bakom attacken, vare sig det drivs av politiska eller ekonomiska mål, är fortfarande osäkert. Medan FIN11 tidigare enbart har opererat som en kriminell organisation inblandad i datalösen, väcker det frågan om dessa välbekanta kriminella nätverk ligger bakom händelsen eller om cyberlegosoldater med ideologiska motiv är inblandade.
Intressant nog sträcker sig omfattningen av offer som påverkas av MOVEit-attacken utöver de förväntade målen. Regeringen i Nova Scotia, ett osannolikt mål för en statsstödd skådespelare, har också fallit offer. Rapporter tyder på att attacken hade potential att äventyra omkring 2 500 MOVEit-servrar, vilket förstärkte omfattningen och effekten av intrånget. Ipswitch, mjukvaruutvecklaren för IT-hantering, har ännu inte avslöjat antalet företag som använder deras programvara vid tidpunkten för incidenten innan en korrigering implementeras.
Vad ligger framför offren: konsekvenser och utsikter
När situationen utvecklas måste offerorganisationer rusta sig för potentiella utpressningsförsök, offentlig exponering av stulna data och möjligheten att bli offentligt skämda av hotaktören. Troligtvis kommer cyberbrottslingarna snart att ta kontakt med sina offer, ställa krav på utpressning och systematiskt rikta in sig på dem på deras lista. För att skydda sig mot ytterligare skada rekommenderas det att alla organisationer, oavsett när mjukvaran patchades, gör en grundlig kriminalteknisk analys av sina system om MOVEit webbgränssnitt exponerades för internet.
Avslöjar cybersäkerhetsbrottet: BA, BBC och Boots avslöjar kontakt- och bankuppgifter skärmdumpar
