Эксперты по кибербезопасности готовятся к потенциальной волне требований вымогателей после обнаружения уязвимости в зашифрованном программном обеспечении для обмена файлами. Хакеры уже воспользовались этой уязвимостью, нацелившись на ряд известных жертв, включая British Airways и BBC.
Несколько компаний и провинция в Канаде заявили в понедельник, что столкнулись с нарушениями, связанными с безопасным продуктом для передачи файлов MOVEit от Progress Software Corp., согласно заявлениям нескольких затронутых организаций. Уязвимость позволяла хакерам красть файлы, загруженные компаниями в MOVEit, по словам Progress.
Эта уязвимость вызвала предупреждения о безопасности в последние дни от Министерства внутренней безопасности США, Национального центра кибербезопасности Великобритании, Microsoft Corp. и Mandiant, дочерней компании Google Cloud, принадлежащей Alphabet Inc.
Progress выпустила патч для программного обеспечения на прошлой неделе.
"Когда мы обнаружили уязвимость, мы незамедлительно начали расследование, оповестили клиентов MOVEit о проблеме и предоставили немедленные меры для смягчения последствий", - сказал представитель Джон Эдди в заявлении.
Microsoft заявил, что хакеры, ответственные за атаки на серверы MOVEit, также управляют сайтом вымогателей Clop. Clop - это название варианта программы-вымогателя, который использовался против компаний и организаций по всему миру, и иногда также относится к хакерской группе, использующей его. Хакеры, связанные с этой группой, также крадут данные и угрожают их публикацией на своем веб-сайте, если не будет уплачен выкуп.
Эта группа в основном нацеливается на секторы здравоохранения и финансов и существует с февраля 2019 года, согласно Trend Micro Inc. Те же хакеры несли ответственность за предыдущие взломы двух других защищенных продуктов для передачи файлов, разработанных Accellion Inc. и Fortra LLC, по словам Аллана Лиски, старшего аналитика по разведке в Recorded Future Inc.
Общедоступные источники данных показывают, что существует тысячи уязвимых серверов MOVEit, которые могли пострадать от уязвимости программного обеспечения, сказал Лиска. Ожидается, что криминальные хакеры начнут связываться с компаниями и требовать оплату в криптовалюте в обмен на то, чтобы не загружать украденные данные компании в Интернет.
Поисковый запрос по общедоступным серверам MOVEit, выполненный Bloomberg News, показывает, что среди пользователей находятся юридические фирмы, организации здравоохранения и IT-компании.
Представитель преступной группы вымогателей в письме Bloomberg News заявил, что они удалили данные, украденные у "военных, правительственных организаций, детских больниц, полиции". Невозможно подтвердить утверждение группы.
На вопрос о том, сколько компаний было скомпрометировано, представитель ответил: "Вы все их узнаете, если они откажутся платить, они появятся на нашем блоге".
Чарльз Кармакал, главный технолог в Mandiant, заявил, что первое наблюдение эксплуатации MOVEit было сделано 27 мая.
"Мы ожидаем, что требования о вымогательстве начнутся в любое время в ближайшие четыре недели", - сказал он. "У угрозы есть много данных, которые нужно просмотреть. Когда начнется вымогательство, оно, вероятно, продлится несколько месяцев".
British Airways, сеть аптек Boots и BBC сообщили тысячам сотрудников, что их персональная информация могла быть скомпрометирована в результате кибератаки на их поставщика услуг по управлению персоналом Zellis.
В заявлении Zellis сказано, что "несколько клиентов" пострадали. "Как только мы узнали о происшествии, мы незамедлительно приняли меры, отключив сервер, использующий программное обеспечение MOVEit, и привлекли экспертную внешнюю команду по реагированию на инциденты безопасности для помощи в проведении судебно-следственной экспертизы и непрерывного мониторинга", - говорится в заявлении. British Airways заявила, что происшествие произошло "из-за новой и ранее неизвестной уязвимости в широко используемом инструменте для передачи файлов MOVEit".
Правительство Новой Шотландии заявило, что расследует кражу личной информации, связанной с уязвимостью MOVEit. "Правительство работает над определением того, какая информация была украдена и сколько людей пострадало", - говорится в заявлении.
В British Airways взлом привел к раскрытию персональной информации сотрудников, включая имена, фамилии, даты рождения и, возможно, банковские реквизиты, по словам представителя авиакомпании, которая имеет около 35 000 сотрудников.
Boots, с более чем 50 000 сотрудниками, заявила, что пострадала персональная информация сотрудников. Сервер был отключен, и сотрудники были проинформированы, сказал представитель Boots, принадлежащего Walgreens Boots Alliance Inc.
BBC подтвердила, что ее задела атака на Zellis. Представитель сказал, что они срочно пытаются установить масштаб утечки данных.
"Это типичный случай атаки на поставщика цепочки поставок, направленной против нескольких компаний, в которых содержится чрезвычайно чувствительная информация о сотрудниках", - сказал Джейк Мур, эксперт по кибербезопасности из Великобритании и глобальный советник фирмы по кибербезопасности ESET. "Предлагаемый патч безопасности является абсолютно важным и должен быть установлен всем затронутым компаниям для обеспечения защиты".
По материалам Bloomberg