Зміст
Використання вразливості програмного забезпечення MOVEit Transfer розкриває конфіденційні дані британських компаній і ставить під загрозу безпеку працівників
Декілька відомих британських компаній, зокрема BBC, British Airways, Boots і Aer Lingus, стали жертвами значного кіберінциденту. Порушення призвело до того, що особиста інформація співробітників, включаючи конфіденційні дані, такі як банківські та контактні дані, стала доступною для зловмисних хакерів. Це порушення кібербезпеки приписують групі програм-вимагачів, відомої як Clop, яка спеціально націлена на вразливості програмного забезпечення для передачі файлів MOVEit. Інцидент викликав занепокоєння щодо безпеки даних компанії та потенційного впливу на постраждалих співробітників.
У сміливій заяві, надісланій електронною поштою до Reuters, хакери з гордістю взяли на себе відповідальність за атаку, випустивши жахливе попередження, що ті, хто наважиться ігнорувати їхні вимоги викупу, будуть оприлюднені на веб-сайті їхньої групи. Попередні розслідування Microsoft вже вказували на російськомовну банду програм-вимагачів , натякаючи на їхню причетність до інциденту. Шокуюче відкриття сталося минулого тижня, коли експерти з кібербезпеки оприлюднили використання вразливості нульового дня — небезпечної вади — у широко використовуваній системі передачі файлів, відомої як MOVEit, розробленій Progress Software. Ця вразливість була шлюзом для кіберзлочинців, щоб проникнути та отримати конфіденційну інформацію з численних глобальних компаній, які покладаються на MOVEit Transfer.
Безліч організацій стають жертвами широкомасштабного впливу
Шокуюче відкриття стало відомо в понеділок, коли британська компанія Zellis підтвердила, що вісім її клієнтів стали жертвами кіберінциденту. Хоча назви постраждалих організацій не розголошуються, British Airways (BA) визнала свою причетність до тривожної ситуації. Оскільки у Великій Британії працює 34 000 співробітників, вразливість авіакомпанії до порушення викликає глибоке занепокоєння.
BBC і Boots, відомі своїм великим штатом з 50 000 співробітників, також опинилися втягнутими в хаос. Хоча телекомпанія висловила полегшення, що банківські реквізити її співробітників залишаються в безпеці, ідентифікаційні номери компанії та національні страхові номери були скомпрометовані. Aer Lingus, дочірня компанія BA, підтвердила, що інцидент торкнувся як нинішніх, так і колишніх співробітників. Однак жодна фінансова чи банківська інформація чи номери телефонів не були скомпрометовані під час цієї тривожної події.
Уразливість нульового дня в продукті MOVEit Transfer від Progress Software значно вплинула на численні компанії по всьому світу. Однак офіційні особи компанії підкреслили, що все програмне забезпечення, яке належить Zellis, залишається незмінним, і не було повідомлено про жодні інциденти чи компрометації щодо будь-якого іншого аспекту його ІТ-інфраструктури.
Дослідження походження атак: кластер загроз із потенційними зв’язками з Росією
Останні висновки фірми з кібербезпеки Maidant проливають світло на походження атаки, ідентифікуючи її як «новостворений кластер загроз» під назвою UNC4857. Цей кластер включає відомі кіберзлочинні групи, такі як FIN11 , TA505 і Clop , які встановили зв’язки з Росією. Однак мотив нападу, незалежно від того, політичні чи фінансові цілі, залишається невизначеним. Хоча FIN11 раніше діяла виключно як злочинна організація, яка займалася викупом даних, виникає питання, чи ці знайомі злочинні мережі стоять за інцидентом, чи в ньому задіяні кібернайманці з ідеологічними мотивами.
Цікаво, що масштаб жертв атаки MOVEit виходить за межі очікуваних цілей. Уряд Нової Шотландії, малоймовірна ціль для підтримуваного державою актора, також став жертвою. У звітах зазначено, що атака потенційно могла скомпрометувати близько 2500 серверів MOVEit, посилюючи масштаб і вплив злому. Ipswitch, розробник програмного забезпечення для управління ІТ, ще не розкрив кількість компаній, які використовували їхнє програмне забезпечення на момент інциденту, перш ніж запровадити виправлення.
Що чекає на жертв: наслідки та перспективи
У міру розвитку ситуації організації-жертви повинні підготуватися до можливих спроб вимагання, публічного оприлюднення викрадених даних і можливості публічного ганьби з боку загрозливої особи. Ймовірно, незабаром кіберзлочинці почнуть контактувати зі своїми жертвами, вимагаючи вимагання та систематично атакуючи тих, хто входить до їх списку. Щоб захиститися від подальшої шкоди, рекомендується, щоб усі організації, незалежно від того, коли програмне забезпечення було виправлено, провели ретельний криміналістичний аналіз своїх систем, якщо веб-інтерфейс MOVEit був відкритий для Інтернету.
Викриття порушення кібербезпеки: BA, BBC і Boots розкривають контактні та банківські реквізити скріншотів
