Активная банда киберпреступников, предположительно базирующаяся в россии, выдвинула ультиматум против взлома, от которого пострадали организации по всему миру.
Группа Clop разместила уведомление в даркнете, предупреждая тех, кто пострадал от взлома MOVEit, отправить им электронное письмо до 14 июня, иначе украденные данные будут опубликованы.
Более 100 000 сотрудников BBC, British Airways и Boots сообщили, что данные о заработной плате могли быть украдены.
Работодателей призывают не платить, если хакеры требуют выкуп.
Исследования кибербезопасности ранее предполагали, что Клоп может быть ответственен за взлом, о котором впервые было объявлено на прошлой неделе.
Преступники нашли способ взломать часть популярного программного обеспечения для бизнеса под названием MOVEit, а затем смогли использовать этот доступ для доступа к базам данных потенциально сотен других компаний.
Аналитики Microsoft заявили в понедельник, что, по их мнению, виноват Клоп, основываясь на методах, использованных при взломе.
Теперь это было подтверждено в длинном сообщении в блоге, написанном на ломаном английском.
Пост, увиденный BBC, гласит: «Это объявление для информирования компаний, использующих продукт Progress MOVEit, о том, что мы можем загрузить много ваших данных как часть исключительного эксплойта».
Далее в сообщении содержится призыв к организациям-жертвам отправить электронное письмо банде, чтобы начать переговоры на портале даркнета команды.
Это необычная тактика, поскольку обычно хакеры рассылают организациям-жертвам по электронной почте требования о выкупе, но здесь они требуют, чтобы жертва вышла на связь. Это может быть связано с тем, что сам Clop не может справиться с масштабом взлома, который все еще обрабатывается по всему миру.
MOVEit предоставляется компанией Progress Software в США для многих предприятий, позволяющих безопасно перемещать файлы по корпоративным системам. Поставщик услуг по расчету заработной платы Zellis, базирующийся в Великобритании, был одним из его пользователей.
Зеллис подтвердил, что в результате были украдены данные восьми организаций, включая домашние адреса, номера национальных страховых полисов и, в некоторых случаях, банковские реквизиты.
На данный момент все нижеперечисленные лица заявили, что у них могли быть украдены данные:
- BBC
- British Airways
- Аэр Лингус
- Сапоги
- Правительство Новой Шотландии
- Университет Рочестера
Эксперты советуют отдельным лицам не паниковать, а организациям проводить проверки безопасности, проводимые такими органами, как Управление кибербезопасности и инфраструктуры в США.
Clop заявляет на своем сайте утечки, что он удалил все данные из государственных, городских или полицейских служб.
«Не волнуйтесь, мы удалили ваши данные, вам не нужно связываться с нами. Мы не заинтересованы в раскрытии такой информации», — говорится в нем.
Однако исследователи говорят, что преступникам нельзя доверять.
«Утверждение Клопа об удалении информации, касающейся организаций государственного сектора, следует воспринимать с долей скептицизма. Если информация имеет денежную ценность или может быть использована для фишинга, маловероятно, что они просто избавятся от нее», — заявил Бретт Кэллоу. исследователь из Emsisoft.
Эксперты по кибербезопасности давно отслеживают эксплойты Clop, который, как считается, базируется в россии, поскольку в основном работает на русскоязычных форумах.
россию уже давно обвиняют в том, что она является убежищем для банд вымогателей, но россия это отрицает.
Тем не менее, Clop работает как группа «программы-вымогатели как услуга», что означает, что хакеры могут арендовать свои инструменты для проведения атак из любого места.
В 2021 году предполагаемые хакеры Clop были арестованы в Украине в ходе совместной операции Украины, США и Южной Кореи.
В то время власти утверждали, что ликвидировали группу, которая, по их словам, была ответственна за вымогательство 500 миллионов долларов у победителей по всему миру.
Но Клоп продолжает оставаться постоянной угрозой.