Modern technology gives us many things.

Η Microsoft λέει ότι η συμμορία ransomware Clop βρίσκεται πίσω από τις μαζικές παραβιάσεις του MOVEit, καθώς εμφανίζονται τα πρώτα θύματα

Το BBC, η British Airways και η κυβέρνηση της Nova Scotia είναι επιβεβαιωμένα θύματα

Οι ερευνητές ασφάλειας έχουν συνέδεσε ένα νέο κύμα μαζικών εισβολών που στόχευαν ένα δημοφιλές εργαλείο μεταφοράς αρχείων με τη διαβόητη συμμορία ransomware Clop, καθώς αρχίζουν να εμφανίζονται τα πρώτα θύματα των επιθέσεων.

Αποκαλύφθηκε την περασμένη εβδομάδα ότι οι χάκερ εκμεταλλεύονται μια ευπάθεια που ανακαλύφθηκε πρόσφατα στο MOVEit Transfer, ένα εργαλείο μεταφοράς αρχείων που χρησιμοποιείται ευρέως από τις επιχειρήσεις για την κοινή χρήση μεγάλων αρχείων μέσω του Διαδικτύου. Η ευπάθεια επιτρέπει στους χάκερ να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στη βάση δεδομένων ενός επηρεαζόμενου διακομιστή MOVEit. Το Progress Software, το οποίο αναπτύσσει το λογισμικό MOVEit, έχει έχει ήδη κυκλοφορήσει κάποια patches.

Το Σαββατοκύριακο άρχισαν να εμφανίζονται τα πρώτα θύματα των επιθέσεων.

Η Zellis, κατασκευαστής λογισμικού ανθρώπινων πόρων και πάροχος μισθοδοσίας με έδρα το Ηνωμένο Βασίλειο, επιβεβαίωσε στο TechCrunch ότι το σύστημά της MOVEit ήταν σε κίνδυνο, με το περιστατικό να επηρεάζει έναν «μικρό αριθμό» εταιρικών πελατών της.

Ένας από αυτούς τους πελάτες είναι η βρετανική αεροπορική εταιρεία British Airways, η οποία είπε στο TechCrunch ότι η παραβίαση περιελάμβανε τα δεδομένα μισθοδοσίας όλων των υπαλλήλων της που εδρεύουν στο Ηνωμένο Βασίλειο.

«Έχουμε ενημερωθεί ότι είμαστε μία από τις εταιρείες που επηρεάστηκαν από το περιστατικό κυβερνοασφάλειας της Zellis που συνέβη μέσω ενός από τους τρίτους προμηθευτές τους που ονομάζεται MOVEit», δήλωσε στο TechCrunch ο εκπρόσωπος της British Airways Jason Turnnidge-Betts. «Η Zellis παρέχει υπηρεσίες υποστήριξης μισθοδοσίας σε εκατοντάδες εταιρείες στο Ηνωμένο Βασίλειο, μία από τις οποίες είμαστε εμείς. Έχουμε ειδοποιήσει τους συναδέλφους των οποίων τα προσωπικά στοιχεία έχουν παραβιαστεί για να παράσχουμε υποστήριξη και συμβουλές.»

Η British Airways δεν επιβεβαίωσε πόσοι εργαζόμενοι επηρεάζονται, αλλά αυτή τη στιγμή έχει περίπου 35.000 άτομα σε όλο τον κόσμο.

Το βρετανικό BBC επιβεβαίωσε επίσης ότι επηρεάστηκε από το περιστατικό που έπληξε τη Zellis. Ένας εκπρόσωπος του BBC, ο οποίος αρνήθηκε να δώσει το όνομά του, είπε στο TechCrunch: «Γνωρίζουμε μια παραβίαση δεδομένων στον τρίτο προμηθευτή μας, τη Zellis, και συνεργαζόμαστε στενά μαζί τους καθώς διερευνούν επειγόντως την έκταση της παραβίασης. Λαμβάνουμε πολύ σοβαρά υπόψη την ασφάλεια των δεδομένων και ακολουθούμε τις καθιερωμένες διαδικασίες αναφοράς.»

Η κυβέρνηση της Νέας Σκωτίας, η οποία χρησιμοποιεί το MOVEit για να μοιράζεται αρχεία μεταξύ των τμημάτων, είπε σε δήλωση ότι ορισμένες προσωπικές πληροφορίες κάποιων πολιτών μπορεί να έχουν παραβιαστεί. Η κυβέρνηση της Νέας Σκωτίας είπε ότι έθεσε εκτός σύνδεσης το επηρεαζόμενο σύστημά της και εργάζεται για να προσδιορίσει «τι ακριβώς πληροφορίες έχουν κλαπεί και πόσοι άνθρωποι έχουν επηρεαστεί».

Αρχικά δεν ήταν σαφές ποιος βρισκόταν πίσω από αυτό το νέο κύμα εισβολών, αλλά οι ερευνητές ασφαλείας της Microsoft αποδίδουν τις κυβερνοεπιθέσεις σε μια ομάδα που παρακολουθεί ως “Lace Tempest”. Αυτή η συμμορία είναι γνωστή θυγατρική της ομάδας ransomware Clop που συνδέεται με τη Ρωσία, η οποία προηγουμένως είχε συνδεθεί με μαζικές επιθέσεις που εκμεταλλεύονταν ελαττώματα στο εργαλείο μεταφοράς αρχείων GoAnywhere της Fortra και στην εφαρμογή μεταφοράς αρχείων της Accellion.

Ερευνητές της Microsoft δήλωσαν ότι η εκμετάλλευση της ευπάθειας MOVEit συχνά ακολουθείται από εξαγωγή δεδομένων.

Η Mandiant δεν έχει ακόμη την ίδια απόδοση με τη Microsoft, αλλά σημειώνεται στο α ανάρτηση το Σαββατοκύριακο που υπάρχουν «αξιοσημείωτες» ομοιότητες μεταξύ ενός νεοδημιουργημένου συμπλέγματος απειλών που ονομάζεται UNC4857 που έχει μέχρι στιγμής «άγνωστα κίνητρα» και του FIN11, μιας καθιερωμένης ομάδας ransomware που είναι γνωστό ότι λειτουργεί το Clop ransomware. «Η συνεχής ανάλυση της αναδυόμενης δραστηριότητας μπορεί να προσφέρει πρόσθετες πληροφορίες», είπε ο Mandiant.

Ο Τσαρλς Καρμακάλ, επικεφαλής τεχνολογίας στη Mandiant, επιβεβαίωσε στο TechCrunch την περασμένη εβδομάδα ότι η εταιρεία «είχε δει στοιχεία διείσδυσης δεδομένων σε πολλά θύματα».

Είναι πιθανό ότι πολλά περισσότερα θύματα της παραβίασης του MOVEit θα έρθουν στο φως τις επόμενες ημέρες.

Η Shodan, μια μηχανή αναζήτησης για συσκευές και βάσεις δεδομένων που εκτίθενται στο κοινό, έδειξε ότι περισσότεροι από 2.500 διακομιστές μεταφοράς MOVEit ήταν ανιχνεύσιμοι στο διαδίκτυο.





techcrunch.com

Follow TechWar.gr on Google News

Απάντηση