Вымогательская группировка Clop начала вымогать деньги у компаний, пострадавших в ходе массовой атаки на уязвимость нулевого дня в MOVEit Transfer. Хакеры уже начали перечислять названия компаний-жертв на своем сайте для утечек. Тем временим, взлом подтвердили нефтегазовая компания Shell и несколько федеральных агентств США.
Напомню, что все началось с 0-day уязвимостьи (CVE-2023-34362) в решении для управления передачей файлов MOVEit Transfer, которую обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.
Злоумышленники использовали эту уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.
В итоге аналитики Microsoft связали эти атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950).
Суммарно в ходе этих атак были скомпрометированы сотни компаний. За прошедшие недели взлом подтвердили множество пострадавших. Среди них: компания Zellis, британский поставщик решения для расчета заработной платы и управления персоналом, среди клиентов которой числятся Sky, Harrods, Jaguar, Land Rover, Dyson и Credit Suisse. Из-за взлома Zellis были скомпрометированные данные ирландской авиакомпании Aer Lingus, авиакомпании British Airways, BBC, британской аптечная сети Boots.
Также стало известно, что утечки данных затронули Университет Рочестера, правительство Новой Шотландии, власти американских штатов Миссури и Иллинойс, BORN Ontario, Ofcam, Extreme Networks и Американское терапевтическое общество.
Более того, на этой неделе выяснилось, что атаки также затронули Агентство США по кибербезопасности и безопасности инфраструктуры (CISA), работающее с различными федеральными ведомствами, а по информации Federal News Network, взломаны были и два подразделения Министерства энергетики США.
При этом нужно отметить, что ранее в разговорах с журналистами участники Clop подчеркивали, что автоматически удаляют все данные, украденные у правительственных организаций. По их словам, они стараются не допускать таких атак, а если они случаются, то данные сразу удаляются для военных, детских больниц, а также стирается правительственная информация и так далее.
Как теперь сообщает издание Bleeping Computer, хакеры уже начали публиковать на своем сайте списки пострадавших компаний и обещают начать слив данные 21 июня, если им не выплатят выкупы.
Пять из перечисленных хакерами компаний, британская нефтегазовая компания Shell, UnitedHealthcare Student Resources (UHSR), Университет Джорджии и Университетская система Джорджии, Heidelberger Druck и Landal Greenparks, подтвердили журналистам, что они были в разной степени затронуты атаками на уязвимость в MOVEit Transfer.
Так, представители Shell заявили, что пострадало лишь небольшое число сотрудников и клиентов. В Landal Greenparks сообщили, что злоумышленники получили доступ к именам и контактной информации примерно 12 000 гостей.
Университетская система Джорджии, Университет Джорджии и UnitedHealthcare Student Resources заявляют, что они все еще расследуют атаки и позже сообщат о любых нарушениях, если таковые будут обнаружены.
Немецкая полиграфическая компания Heidelberger Druck сообщает, что хотя действительно использует MOVEit Transfer, но расследование инцидента показало, что атака не привела к утечке данных.
В компании Putnam Investments не стали комментировать заявления хакеров, сообщив, что пока изучают этот вопрос.
Хотя прочие компании, перечисленные на сайте вымогателей, не ответили на запросы журналистов, ИБ-исследователь Ютака Седзияма подтвердил изданию, что они используют платформу MOVEit Transfer или пользовались ею в прошлом.