Корпорация Microsoft связала банду вымогателей Clop с недавней атакой , использующей уязвимость нулевого дня в платформе MOVEit Transfer для кражи данных у организаций.
“Microsoft приписывает атаки, использующие 0-дневную уязвимость CVE-2023-34362MOVEit Transfer, киберпреступной группировке Lace Tempest, известной своими программами-вымогателями и запуском сайта утечки Clop”, – написаливчера вечером в Twitter * представители команды Microsoft Threat Intelligence.
“Lace Tempest” – новое название, в соответствии с обновлённой классификацией Microsoft, для группировки, более известной как TA505, FIN11 или DEV-0950.
“Злоумышленники в прошлом использовали аналогичные уязвимости для кражи данных и вымогательства у жертв”, – добавили специалисты.
MOVEit Transfer – это решение для управляемой передачи файлов (MFT), которое позволяет предприятиям безопасно передавать файлы между деловыми партнерами и клиентами с использованием загрузок на основе SFTP, SCP и HTTP.
Считается, что атака на сервис началась 27 мая, во время продолжительного праздника “День памяти” в США, когда и стало известно о многочисленных организациях, данные которых были похищены.
Злоумышленники использовали уязвимость нулевого дня MOVEit для удаления специально созданных веб-оболочек на серверах, что позволило им извлекать список файлов, хранящихся на сервере, загружать файлы и красть учетные данные / секреты для настроенных контейнеров хранения больших двоичных объектов Azure.
Хотя в то время было неясно, кто стоял за атаками, широко распространялось мнение, что за атаку несет ответственность программа-вымогатель Clop из-за сходства с предыдущими атаками, проведенными группой. Как-никак, именно эта группировка провела две крупнейшие в истории MFT-платформ кибератаки. Первая произошла в 2020, когда Clop воспользовалась уязвимостью нулевого дня Accellion FTA. А вторая случилась в январе этого года, тоже благодаря уязвимости нулевого дня, но уже в Fortra GoAnywhere MFT. В результате обоих атак хакеры Clop завладели данными сотен организаций.
В настоящее время этап вымогательства ещё не начался, и жертвы ещё не получили требований выкупа. Однако известно, что банда Clop, если Microsoft не ошиблась в своих суждениях, выжидает несколько недель после кражи. Возможно, хакеры структурируют украденные данные и определяют их ценность. И лишь когда они будут готовы, они направят свои требования руководителям затронутых компаний по электронной почте.
После атаки на GoAnywhere потребовалось чуть больше месяца, прежде чем хакеры опубликовали список жертв на своём сайте утечки. В этот раз, вполне вероятно, тоже нужно немного подождать. Будем держать в курсе событий.
* Социальная сеть запрещена на территории Российской Федерации.