Банда киберпреступников Clop выдвинула ультиматум жертвам взлома, от которого пострадали организации по всему миру.
Группа Clop разместила уведомление в даркнете, требуя, чтобы те, кто пострадал от взлома MOVEit, отправили им электронное письмо до 14 июня, угрожая опубликовать украденные данные. Вот некоторые из компаний, заявивших об украденных данных:
- BBC
- British Airways
- Aer Lingus
- Boots
- Nova Scotia Government
- The University of Rochester
Исследования кибербезопасности уже предположили, что Clop может быть ответственен за взлом. Преступники нашли способ взломать часть популярного программного обеспечения для бизнеса под названием MOVEit, а затем смогли использовали его для доступа к базам данных сотен других компаний.
Пост, опубликованный Clop, гласит: «Это объявление для информирования компаний, использующих продукт Progress MOVEit, о том, что мы можем загрузить много ваших данных как часть исключительного эксплойта». Далее в сообщении содержится призыв к организациям-жертвам начать переговоры. Это новая тактика. Обычно хакеры рассылают организациям-жертвам по электронной почте требования о выкупе. По мнению экспертов, выход на переговоры может быть связан с тем, что сам Clop не может справиться с масштабом взлома, который все еще обрабатывается по всему миру.
MOVEit предоставляется компанией Progress Software в США для многих предприятий, позволяющих безопасно перемещать файлы по корпоративным системам. Поставщик услуг по расчету заработной платы Zellis, базирующийся в Великобритании, подтвердил, что у восьми организаций были украдены данные, включая домашние адреса, номера национальной страховки и, в некоторых случаях, банковские реквизиты.
При этом Clop утверждает, что удалил все данные из государственных, городских или полицейских служб. «Не волнуйтесь, мы удалили ваши данные, вам не нужно связываться с нами. Мы не заинтересованы в раскрытии такой информации», — говорится в сообщении киберпреступников.
Однако, как считает исследователь из Emsisoft Бретт Кэллоу: «Утверждение Clop об удалении информации, касающейся организаций государственного сектора, следует воспринимать с долей скептицизма. Если информация имеет денежную ценность или может быть использована для фишинга, маловероятно, что они просто избавятся от нее».
Эксперты по кибербезопасности давно отслеживают эксплойты Clop, который, как они считают, базируется в России, поскольку в основном работает на русскоязычных форумах, и советуют пострадавшим не паниковать, а организациям проводить проверки Управления кибербезопасности и инфраструктуры США. Clop работает в качестве «программы-вымогателя, как услуга», что означает, что хакеры могут арендовать свои инструменты для проведения атак из любого места. Так, в 2021 году предполагаемые хакеры Clop были арестованы на Украине в ходе совместной операции Украины, США и Южной Кореи. В то время власти утверждали, что ликвидировали группу, которая, по их словам, была ответственна за вымогательство 500 миллионов долларов у жертв по всему миру.
Тем не менее, Clop продолжает оставаться угрозой…
