В результате массированной кибератаки, эксплуатирующей уязвимость файлообменной программы MOVEit, неизвестные хакеры получили в распоряжение данные, принадлежащие платёжной службе Zellis, властям канадской провинции Новая Шотландия, авиакомпании British Airways, телерадиовещателю BBC и розничной сети Boots.
Первые признаки активной эксплуатации уязвимости обнаружены 27 мая. Атака производится при помощи SQL-инъекции, то есть исполнения вредоносного кода на языке структурированных запросов (SQL) к базе данных. Злоумышленники атакуют облачные ресурсы или выделенные платформы MOVEit, размещая в них шелл — веб-оболочку для несанкционированного доступа. Шелл часто носит имя «human2.aspx» или «human2.aspx.lnk», маскируясь под файл «human.aspx», являющийся стандартным компонентом службы MOVEit Transfer.
Ответственная за разработку MOVEit компания Progress закрыла уязвимость только 31 мая, то есть через четыре дня после начала атаки. И только в минувшее воскресенье, 4 июня, Microsoft сообщила, что за кибератакой стоит русскоязычная хакерская группировка Clop. Как установили эксперты по кибербезопасности, кража данных чаще всего производится в течение двух часов после запуска эксплойта.
Причастность русскоязычных хакеров пока не получила доказательств: ни одна из жертв, в число которых входят мелкие и крупные организации, пока не получила требований о выкупе. Более того, на сайте самой Clop о последней серии кибератак не говорится ничего. Эксперты по кибербезопасности ожидают, что такие требования начнут поступать в ближайшие дни или недели.
Источник: