Кибербанда Clop предъявила BBC, BA и Boots ультиматум

Aug 12, 2023

Крупная группировка киберпреступников, предположительно базирующаяся в России, предъявила ультиматум жертвам взлома, который затронул организации по всему миру.

Группа Clop разместила в даркнете уведомление, предупреждающее фирмы, пострадавшие от взлома MOVEit, отправить им электронное письмо до 14 июня, иначе украденные данные будут опубликованы.

Более 100 000 сотрудников BBC, British Airways и Boots сообщили, что данные о заработной плате могли быть украдены.

Работодателей призывают не платить, если хакеры потребуют выкуп.

Исследования кибербезопасности ранее предполагали, что Клоп может быть ответственен за взлом, о котором впервые было объявлено на прошлой неделе.

Преступники нашли способ взломать часть популярного программного обеспечения для бизнеса под названием MOVEit, а затем смогли использовать этот доступ для проникновения в базы данных потенциально сотен других компаний.

Аналитики Microsoft заявили в понедельник, что, по их мнению, виноват Клоп, основываясь на методах, использованных при взломе.

Теперь это было подтверждено в длинном сообщении в блоге, написанном на ломаном английском языке.

Сообщение, просмотренное BBC, гласит: «Это объявление призвано проинформировать компании, использующие продукт Progress MOVEit, о том, что есть вероятность, что мы загрузим большое количество ваших данных в рамках исключительного эксплойта».

Далее в сообщении содержится призыв к организациям-жертвам отправить банде электронное письмо, чтобы начать переговоры на портале даркнета команды.

Это необычная тактика, поскольку обычно хакеры отправляют организациям-жертвам электронные письма с требованиями выкупа, но здесь они требуют, чтобы жертвы связались с ними. Это может быть связано с тем, что сам Clop не может справиться с масштабом взлома, который все еще обрабатывается по всему миру.

«Я считаю, что у них просто так много данных, что им трудно разобраться во всем этом. Они делают ставку на то, что если вы знаете, то свяжетесь с ними», — говорит генеральный директор SOS Intelligence Амир Хаджипасич.

MOVEit поставляется компанией Progress Software в США для многих предприятий, позволяющих безопасно перемещать файлы по системам компании. Поставщик услуг по расчету заработной платы Zellis, базирующийся в Великобритании, был одним из его пользователей.

Зеллис подтвердил, что в результате у восьми британских организаций были украдены данные, включая домашние адреса, номера национального страхования и, в некоторых случаях, банковские реквизиты. Не все фирмы предоставили одинаковые данные.

Среди клиентов Zellis, которые были взломаны:

Правительство Новой Шотландии и Рочестерский университет также предупреждают сотрудников, что данные могли быть украдены из-за уязвимости MOVEit.

Эксперты советуют частным лицам не паниковать, а организациям — проводить проверки безопасности, проводимые такими органами, как Управление кибербезопасности и инфраструктуры США.

Clop утверждает на своем сайте утечки, что удалил все данные правительственных, городских или полицейских служб.

«Не волнуйтесь, мы удалили ваши данные, вам не нужно обращаться к нам. Мы не заинтересованы в раскрытии такой информации», — говорится в сообщении.

Однако исследователи говорят, что преступникам нельзя доверять.

«Заявление Клопа об удалении информации, касающейся организаций государственного сектора, следует воспринимать с долей скептицизма. Если информация имеет денежную ценность или может быть использована для фишинга, маловероятно, что они просто уничтожили бы ее», — сказал Бретт Кэллоу, угрожающий исследователь из Emsisoft.

Эксперты по кибербезопасности уже давно отслеживают эксплойты Clop, который, как полагают, базируется в России, поскольку в основном работает на русскоязычных форумах.

Россию уже давно обвиняют в том, что она является убежищем для банд-вымогателей, но она это отрицает.

Однако Clop работает как группа «вымогателей как услуга», что означает, что хакеры могут арендовать свои инструменты для проведения атак из любого места.

В 2021 году предполагаемые хакеры Clop были арестованы в Украине в ходе совместной операции Украины, США и Южной Кореи.

В то время власти заявили, что ликвидировали группу, которая, по их словам, была ответственна за вымогательство 500 миллионов долларов у жертв по всему миру.

Но Клоп по-прежнему представляет собой постоянную угрозу.