Хакер #305. Многошаговые SQL-инъекции
Нефтегазовая компания Shell (Royal Dutch Shell), занимающая пятое место в рейтинге Fortune Global 500, стала жертвой взлома из-за атаки на устаревший файлообменный сервис Accellion FTA (File Transfer Application).
Shell раскрыла информацию об атаке в публичном заявлении, обнародованном на официальном сайте. Представители компании уверяют, что инцидент затронул только устройство c Accellion FTA, которое использовалось для безопасной передачи больших файлов.
«Нет никаких признаков какого-либо воздействия на основные ИТ-системы Shell, поскольку служба передачи файлов была изолирована от остальной инфраструктуры Shell», — подчеркивается в заявлении.
Shell уже уведомила о случившемся соответствующие органы и регуляторов, так как злоумышленники получили доступ к файлам, переданным с помощью скомпрометированного устройства Accellion FTA. Сообщается, что часть этих данных принадлежала заинтересованным сторонам и дочерним предприятиям Shell.
«Shell держит связь с пострадавшими лицами и заинтересованными сторонами, и мы работаем с ними над устранением возможных рисков», — сообщают в компании.
Напомню, что в прошлом месяце ИБ-специалисты связали атаки на уязвимые установки Accellion FTA с хак-группой FIN11. Аналитики компании FireEye писали, что жертвами злоумышленников на тот момент стали более 100 компаний.
По информации самих разработчиков Accellion, среди примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняли, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
В рамках этой кампании хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл DEWMODE и используют его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники часто шантажируют пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
Примечательно, что похищенные данные публикуются на сайте, который принадлежит операторам шифровальщика Clop, однако в сетях пострадавших компаний не было зашифровано ни одной машины. То есть все они стали жертвами взлома и классического вымогательства, а не атак шифровальщика.
Разработчики Accellion уже выпустили несколько «волн» исправлений, но каждый раз подчеркивали, что FTA уже давно является устаревшим продуктом, и призывали своих клиентов перейти на новую платформу Kiteworks. В итоге в компании и вовсе заявили, что окончательно прекратят поддержку FTA 30 апреля 2021 года.