Продолжают шириться последствия от эксплуатации 0-day уязвимости в решении для управления передачей файлов MOVEit Transfer. Общее количество пострадавших компаний уже перевалило за 100, и среди подтвердивших компрометацию жертв теперь числятся Siemens Energy и Schneider Electric.

Напомню, что все началось с 0-day уязвимости (CVE-2023-34362) в решении для управления передачей файлов MOVEit Transfer, которую обнаружили в начале июня 2023 года. Проблеме оказались подвержены все версии MOVEit Transfer, и сообщалось, что атаки на них начались еще 27 мая 2023 года.

Злоумышленники использовали эту уязвимость, чтобы разместить на уязвимых серверах кастомные веб-шеллы, что позволило им получить список файлов, хранящихся на сервере, скачать файлы, а также похитить учетные данные и секреты учетных записей Azure Blob Storage, включая параметры AzureBlobStorageAccount, AzureBlobKey и AzureBlobContainer.

В итоге аналитики Microsoft связали массовые атаки с вымогательской хак-группой Clop (она же Lace Tempest, TA505, FIN11 или DEV-0950). И вскоре хакеры начали выдвигать требования и вымогать выкуп у пострадавших компаний.

К настоящему моменту известно, что в ходе атак суммарно были скомпрометированы сотни компаний. За прошедшие недели взлом подтвердили множество пострадавших. Среди них: компания Zellis, британский поставщик решения для расчета заработной платы и управления персоналом, среди клиентов которой числятся Sky, Harrods, Jaguar, Land Rover, Dyson и Credit Suisse. Из-за взлома Zellis были скомпрометированные данные ирландской авиакомпании Aer Lingus, авиакомпании British Airways, BBC, британской аптечная сети Boots.

Также утечки данных затронули Университет Рочестера, правительство Новой Шотландии, власти американских штатов Миссури и ИллинойсBORN OntarioOfcamExtreme Networks и Американское терапевтическое общество.

На этой неделе список пострадавших продолжил расшиться. Так, об атаке и утечке данных сообщили представители Калифорнийского университета в Лос-Анджелесе (UCLA). Представители учебного заведения заявили, что уже уведомили о случившемся ФБР и привлекли к делу сторонних ИБ-экспертов, чтобы расследовать атаку и понять, какие данные были затронуты.

Также атаки на баг в MOVEit Transfer затронули Siemens Energy — мюнхенскую энергетическую компанию, в которой работает 91 000 человек по всему миру. Хотя в настоящее время «слива» данных еще не произошло, Clop уже включила Siemens Energy в число пострадавших на своем сайте в даркнете, а представители компании подтвердили СМИ, что были взломаны в ходе недавних атак Clop.

В Siemens Energy подчеркивают, что никакие важные данные не были украдены и бизнес-операции компании не пострадали.

Вместе с Siemens Energy на сайт Clop был добавлен и другой промышленный гигант — французская Schneider Electric, занимающаяся энергомашиностроением и производящая оборудования для энергетических подкомплексов промышленных предприятий, объектов гражданского и жилищного строительства, ЦОД и так далее.

В Schneider Electric сообщили, что после известий об уязвимости в MOVEit Transfer в компании «оперативно развернули доступные средства для защиты данных и инфраструктуры». В настоящее время ИБ-специалисты компании расследуют последствия инцидента и заявления Clop о краже данных.

Помимо перечисленных технологических гигантов, недавно список жертв хакеров пополнили:

  • департамент образования Нью-Йорка, который признал, что Clop похитила документы, содержащие конфиденциальную информацию 45 000 учащихся;
  • власти штатов Орегон и Луизиана, у которых хакеры украли данные о миллионах водительских прав граждан.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии