Ofiar ransomware Clop mogą być setki – wśród nich Shell, British Airways czy BBC
Clop, grupa hakerów odpowiedzialna za wykorzystanie krytycznej podatności bezpieczeństwa w MOVEit – popularnym narzędziu do transferu plików w firmach, rozpoczęła publikowanie listy ofiar masowych włamań, w tym kilku amerykańskich banków i uniwersytetów oraz dużych firm europejskich.
Powiązana z Rosją grupa hakerów od kilku tygodni wykorzystywała lukę w zabezpieczeniach narzędzia MOVEit Transfer, które jest używane przez korporacje i przedsiębiorstwa do udostępniania dużych plików przez internet. Firma Progress Software, która opracowała oprogramowanie MOVEit, naprawiła podatność, ale dopiero po tym, jak hakerzy wykradli dane wielu jej klientów. Na domiar złego, wciąż pojawiają się nowe informacje o lukach, które jeszcze wymagają łatki.
Choć dokładna liczba ofiar pozostaje nieznana, grupa ransomware opublikowała informacje o pierwszych organizacjach, które ucierpiały w ataku z wykorzystaniem podatności w MOVEit. Lista ofiar, która została opublikowana na stronie należącej do Clop, obejmuje amerykańskie organizacje świadczące usługi finansowe: 1st Source i First National Bankers Bank, firmę zarządzającą inwestycjami z siedzibą w Bostonie – Putnam Investments, holenderską spólkę Landal Greenparks oraz brytyjskie Shell, British Airways czy BBC.
Wśród innych wymienionych ofiar znajdują się też dostawca oprogramowania finansowego Datasite, organizacja edukacyjna National Student Clearinghouse, ubezpieczyciel dla studentów United Healthcare Student Resources, amerykańska firma Leggett & Platt, szwajcarskie przedsiębiorstwo ubezpieczeniowe ÖKK oraz University System of Georgia (USG).
Clop, jak inne grupy hakerów stosujące ransomware, zwykle kontaktuje się ze swoimi ofiarami, żądając okupu w zamian za odszyfrowanie lub usunięcie skradzionych plików. W tym jednak przypadku cberprzestępcy postąpili nietypowo i nie skontaktowali się ze zhakowanymi organizacjami. Zamiast tego umieścili na swojej stronie wiadomość z żądaniem kontaktu przed 14 czerwca.
Gang Clop mógł włamać się na setki serwisów MOVEit
Wiele firm ujawniło już wcześniej, że zostały zhakowane w wyniku tych ataków, w tym BBC, Aer Lingus i British Airways. Te trzy wymienione organizacje ucierpiały w ataku, ponieważ używają oprogramowania Zellis (kadry i płace) – a właśnie ta firma potwierdziła, że jej serwis MOVEit został zhakowany.
Rząd Nowej Szkocji, który używa MOVEit do udostępniania plików między departamentami, również podał, że został padł ofiarą ataku – jak informuje w oświadczeniu, niektóre dane osobowe obywateli mogły zostać wykradzione. Tu jednak, jeśli wierzyć cyberprzestępcom, zagrożenia nie ma, bo Clop informuje na swojej stronie, że: „jeśli jesteś rządem, miastem lub służbą policyjną… usunęliśmy wszystkie twoje dane”.
Ofcom, brytyjski regulator komunikacyjny, również oświadczył, że w wyniku masowego włamania do MOVEit wykradziono poufne dane. W oświadczeniu regulator potwierdził, że hakerzy uzyskali dostęp do części danych dotyczących firm nadzorowanych przez urząd, a także do danych osobowych 412 pracowników Ofcom.
BBC News donosi, że ofiarą ransomware padły też Transport for London (TfL), organ rządowy odpowiedzialny za funkcjonowanie usług transportowych w Londynie, oraz międzynarodowa firma konsultingowa Ernst & Young.
W nadchodzących dniach i tygodniach poznamy jeszcze wiele innych ofiar, ponieważ na świecie nadal można odnaleźć tysiące podatnych na atak serwerów MOVEit. Około 75% z nich znajduje się w Stanach Zjednoczonych. Na razie wiemy o około 50 firmach, ale to na pewno nie jest koniec.
Źródło: ComputerWeekly, Twitter, CNN
Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.
