Експерти з кібербезпеки готуються до потенційної хвилі вимог здирників після виявлення вразливості у зашифрованому програмному забезпеченні для обміну файлами. Хакери вже скористалися цією вразливістю, націлившись на низку відомих жертв, включаючи British Airways та BBC.
Декілька компаній та провінція в Канаді заявили в понеділок, що зіткнулися з порушеннями, пов'язаними з безпечним продуктом для передачі файлів MOVEit від Progress Software Corp., згідно з заявами кількох порушених організацій. Вразливість дозволяла хакерам красти файли, завантажені компаніями в MOVEit, за словами Progress.
Ця вразливість викликала попередження про безпеку останніми днями від Міністерства внутрішньої безпеки США, Національного центру кібербезпеки Великобританії, Microsoft Corp. та Mandiant, дочірньої компанії Google Cloud, що належить Alphabet Inc.Progress випустила патч для програмного забезпечення минулого тижня.
"Коли ми виявили вразливість, ми негайно розпочали розслідування, сповістили клієнтів MOVEit про проблему та надали негайні заходи для пом'якшення наслідків", - сказав представник Джон Едді у заяві.
Microsoft заявив, що хакери, відповідальні за атаки на сервери MOVEit, також керують сайтом здирників Clop. Clop - це назва варіанта програми-вимагача, який використовувався проти компаній та організацій по всьому світу, і іноді також відноситься до групи хакерів, що використовує його. Хакери, пов'язані з цією групою, також крадуть дані та загрожують їх публікацією на своєму веб-сайті, якщо не буде сплачено викуп.
Ця група в основному націлюється на сектори охорони здоров'я та фінансів та існує з лютого 2019 року, згідно з Trend Micro Inc. Ті ж хакери несли відповідальність за попередні зломи двох інших захищених продуктів для передачі файлів, розроблених Accellion Inc. та Fortra LLC, за словами Аллана Ліски, старшого аналітика з розвідки у Recorded Future Inc.
Загальнодоступні джерела даних показують, що існує тисячі вразливих серверів MOVEit, які могли постраждати від уразливості програмного забезпечення, сказав Ліска. Очікується, що кримінальні хакери почнуть зв'язуватися з компаніями та вимагати оплату в криптовалюті в обмін на те, щоб не завантажувати вкрадені дані компанії в Інтернет.
Пошуковий запит загальнодоступних серверів MOVEit, виконаний Bloomberg News, показує, що серед користувачів знаходяться юридичні фірми, організації охорони здоров'я та IT-компанії.
Представник злочинної групи здирників у листі Bloomberg News заявив, що вони видалили дані, вкрадені у "військових, урядових організацій, дитячих лікарень, поліції". Неможливо підтвердити затвердження групи.
На запитання про те, скільки компаній було скомпрометовано, представник відповів: "Ви їх дізнаєтесь, якщо вони відмовляться платити, вони з'являться на нашому блозі".
Чарльз Кармакал, головний технолог Mandiant, заявив, що перше спостереження експлуатації MOVEit було зроблено 27 травня.
"Ми очікуємо, що вимоги про здирство розпочнуться у будь-який час у найближчі чотири тижні", - сказав він. "У загрози є багато даних, які потрібно переглянути. Коли почнеться здирство, воно, ймовірно, триватиме кілька місяців".
British Airways, мережа аптек Boots і BBC повідомили тисячам співробітників, що їхня персональна інформація могла бути скомпрометована в результаті кібератаки на їхнього постачальника послуг з управління персоналом Zellis.
У заяві Zellis сказано, що "кілька клієнтів" постраждали. "Щойно ми дізналися про подію, ми негайно вжили заходів, відключивши сервер, що використовує програмне забезпечення MOVEit, і залучили експертну зовнішню команду з реагування на інциденти безпеки для допомоги у проведенні судово-слідчої експертизи та безперервного моніторингу", - йдеться у заяві. British Airways заявила, що подія сталася "через нову і раніше невідому вразливість у інструменті для передачі файлів MOVEit, що широко використовується".
Уряд Нової Шотландії заявив, що розслідує крадіжку особистої інформації, пов'язаної з уразливістю MOVEit. "Уряд працює над визначенням того, яка інформація була вкрадена і скільки людей постраждало", - йдеться у заяві.
У British Airways злом призвів до розкриття персональної інформації співробітників, включаючи імена, прізвища, дати народження та, можливо, банківські реквізити, за словами представника авіакомпанії, яка має близько 35 000 співробітників.
Boots, із понад 50 000 співробітниками, заявила, що постраждала персональна інформація співробітників. Сервер було відключено, і співробітники були поінформовані, сказав представник Boots, що належить Walgreens Boots Alliance Inc.
BBC підтвердила, що її зачепила атака на Zellis. Представник сказав, що вони терміново намагаються встановити масштаб витоку даних.
"Це типовий випадок атаки на постачальника ланцюжка поставок, спрямованої проти кількох компаній, у яких міститься надзвичайно чутлива інформація про співробітників", - сказав Джейк Мур, експерт з кібербезпеки з Великобританії та глобальний радник фірми з кібербезпеки ESET. "Пропонований патч безпеки є абсолютно важливим і має бути встановлений усім зачепленим компаніям для забезпечення захисту".
За матеріалами Bloomberg