Jak donosi BBC cyberprzestępcom z rosyjskiej grupy Clop udało się wykorzystać podatność w oprogramowaniu „MOVEit” znanego producenta, co umożliwiło dostęp do danych wielu, największych i najważniejszych firm działających w kraju. Ofiarami ataku padły m.in. BBC, British Airways, Boots i Aer Lingus.
Lista zaatakowanych firm wciąż rośnie w miarę spływania nowych informacji. W e-mailu do pracowników BBC poinformowało, że skradzione dane obejmowały numery identyfikacyjne pracowników, daty urodzenia, adresy domowe i numery ubezpieczenia społecznego. Ponad 100 000 pracowników BBC, British Airways i Boots zostało poinformowanych, że mogły zostać pobrane dane dotyczące płac. Grupa Clop opublikowała ostrzeżenie w darknecie, informując osoby dotknięte atakiem, aby skontaktowały się z grupą do 14 czerwca, w przeciwnym razie skradzione dane zostaną opublikowane.
Komentarz eksperta ds. cyberbezpieczeństwa ESET – Beniamina Szczepankiewicza:
Cyberprzestępcy bardzo szybko wykorzystali lukę w zabezpieczeniach oprogramowania MOVEit, bo zaledwie kilka dni po jej opublikowaniu. Pomimo, że poprawka bezpieczeństwa została już wydana, wiele firm nie miało wystarczająco dużo czasu, aby ją przetestować i wdrożyć. W efekcie duża liczba niezabezpieczonych urządzeń była wystawiona na niebezpieczeństwo. Ten sam schemat zaobserwowaliśmy w przypadku exploita EternalBlue w 2017 r., który został wykorzystany w prawdopodobnie najczęstszych globalnych atakach ransomware — NotPetya i WannaCry. Niestety sam fakt przygotowania poprawki bezpieczeństwa nie sprawia, że firmy są chronione. W tym momencie kluczowe jest jak najszybsze zainstalowanie tej poprawki. Wyciągnijmy z tej sytuacji wnioski i zachowajmy zwiększoną czujność wobec podobnych ataków, a przede wszystkim pamiętajmy o stałej aktualizacji systemów.
Wiemy już, że po udanym ataku napastnicy rozpoczęli negocjacje, zgłaszając się do ofiar i próbując uzyskać jak najwyższy okup, nie ustalając z góry kwoty. Decyzja ta prawdopodobnie wynika z dużej skali ataku, który wciąż wpływa na wiele firm na całym świecie i potencjalnie przekracza możliwości grupy Clop. Clop utrzymuje, że usunął informacje dotyczące organizacji sektora publicznego, ale wiemy już z doświadczenia, że nie można ufać słowom cyberprzestępców. Dlatego właśnie każdy, kto podejrzewa, że jego dane zostały skradzione, musi zachować czujność.
Chociaż nigdy nie zaleca się płacenia cyberprzestępcom okupu, istnieje ryzyko, że niektóre z atakowanych firm ulegną presji. Opłacony okup to wiatr w żagle grup przestępczych, które widząc skuteczność swoich działań będę je kontynuować. Dla zaatakowanych firm w tym momencie najważniejsza jest otwartość i uczciwość wobec swoich pracowników i klientów. Organizacje powinny zaoferować wsparcie w zakresie ochrony tożsamości i wykrywania dalszych ataków typu phishing i smishing.