Издание Bleeping Computer сообщило, что на сайте хакеров, которым принадлежит шифровальщик Clop, были опубликованы данные, украденные из сетей университетов Колорадо и Майами. В частности, на сайте появилась скриншоты информации об успеваемости и номерах социального страхования студентов, финансовые документы университета Колорадо, информация о зачислениях и биографические данные студентов, медицинские записи, демографические отчеты и электронная таблица с адресами электронной почты и номерами телефонов студентов университета Майами.
Атаки на учебные заведения были связаны с использованием устаревшего файлообменного решения Accellion FTA (File Transfer Application). Об этой проблеме мы уже писали неоднократно: в прошлом месяце ИБ-специалисты связали атаки на уязвимые установки Accellion FTA с хак-группой FIN11. Аналитики компании писали, что жертвами злоумышленников на тот момент стали более 100 компаний.
По информации самих разработчиков Accellion, среди примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняли, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп.
В рамках этой кампании хакеры эксплуатируют четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), а затем устанавливают веб-шелл DEWMODE и используют его для кражи файлов, хранящихся на FTA-устройствах жертв. После этого злоумышленники часто шантажируют пострадавших, требуя выкуп и угрожая слить похищенную информацию в открытый доступ.
Примечательно, что похищенные данные публикуются на сайте, который принадлежит операторам шифровальщика Clop, однако в сетях пострадавших компаний и учреждений не было зашифровано ни одной машины. То есть все они стали жертвами взлома и классического вымогательства, а не атак шифровальщика.
Напомню, что среди других пострадавших числятся: резервный банк Новой Зеландии, комиссия по ценным бумагам и инвестициям Австралии (ASIC), сеть розничных магазинов Kroger, крупнейшая телекоммуникационная компания Сингапура Singtel, нефтегазовый гигант Shell, ИБ-компания Qualys и многие другие.
Еще в феврале представители Университета Колорадо подтверждали, что вуз пострадал от кибератаки через Accellion FTA.
«Хотя полный масштаб атаки еще неизвестен, предварительная информация, полученная в результате расследования, подтверждает, что через эксплуатацию уязвимости, возможно, был получен доступ к нескольким типам данных, включая личную информацию студентов CU Boulder и CU Denver, личную информацию абитуриентов, сотрудников, ограниченные медицинские и клинические данные, а также данные исследований и научных работ», — говорилось в официальном заявлении.
Хотя ранее университет Майами не сообщал об атаках и утечках данных, учебное заведение использовало службу обмена файлами под названием SecureSend, которая недавно прекратила работу. Судя по URL-адресам, найденным журналистами Bleeping Computer, эта служба тоже работала на базе Accellion FTA.
«Обратите внимание, что защищенное email-приложение SecureSend (secure.send.miami.edu) в настоящее время не работает, а данные, переданные с помощью SecureSend, недоступны», - говорится на странице SecureSend университета.
Представители университета сообщили журналистам, что уже занимаются расследованием случившегося, уведомили правоохранительные органы и «наняли ведущих экспертов в области кибербезопасности для оказания помощи в расследовании». На сегодняшний день расследование показало, что атака ограничилась только сервером Accellion, но не затронула другие системы университета.