Как мы уже рассказывали ранее, с декабря 2020 года ИБ-эксперты фиксируют атаки на компании и организации, использующие устаревший файлообменный сервис Accellion FTA (File Transfer Application). Аналитики FireEye связывают эту активность с хакерской группой FIN11 и предупреждают, что жертвами злоумышленников уже стали более 100 компаний.
Согласно последним данным, хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл DEWMODE и используют его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники шантажируют пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
Интересно, что похищенные данные публикуются на сайте, который принадлежит операторам шифровальщика Clop, однако в сетях пострадавших компаний не было зашифровано ни одной машины. То есть все они стали жертвами взлома и классического вымогательства, а не атаки шифровальщика.
По информации Accellion, из примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняют, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
Ранее на этой неделе стало известно, что очередной жертвой этой кампании стала канадская машиностроительная компания Bombardier, чьи данные уже опубликованы на сайте Clop.
«Расследование показало, что неавторизованные лица получили доступ и похитили данные, воспользовавшись уязвимостью, затрагивающей стороннее приложение для передачи файлов, которое работало на специальных серверах, изолированных от основной сети Bombardier», — гласит официальное заявление производителя.
В компании также сообщили, что была скомпрометирована личная и другая конфиденциальная информация, касающаяся сотрудников, клиентов и поставщиков Bombardier: пострадали как минимум около 130 сотрудников в Коста-Рике.
Хуже того, СМИ уже нашли среди опубликованных хакерами данных различную проектную документацию для самолетов и авиадеталей производства Bombardier. К примеру, журналистам британского издания The Register удалось опознать на одном из утекших CAD-чертежей военную радиолокационную систему Leonardo Seaspray 7500E, произведенную военным подрядчиком Leonardo. Эта РЛС устанавливается на разведывательные самолеты GlobalEye на базе Global-6000, которые поставляются в Объединенные Арабские Эмираты, а также на самолеты C-130 Hercules, которые использует береговая охрана США.