Не успели мы вчера сообщить о том, как Microsoft связала недавнюю кибератаку на MOVEit Transfer с группировкой Lace Tempest, имеющей прямые связи с хакерами Clop, уже сегодня последние сами вышли из тени и взяли на себя ответственность за атаку.
Представитель банды сам вышел на связь с американскими средствами массовой информации и подтвердил, что атака с использованием уязвимости нулевого дня, о которой все говорят в последние дни, действительно дело рук Clop. Представитель также подтвердил, что они начали эксплуатировать уязвимость 27 мая, во время праздника “День памяти” в США, как ранее сообщали исследователи Mandiant.
Проведение атак в праздничные дни является обычной тактикой для хакеров Clop, ведь в этом случае сотрудников организации на рабочих местах мало, поэтому атаку могут не заметить, или гораздо хуже на неё среагировать, чем если атаковать в обычный рабочий день. Так, Clop использовали аналогичную уязвимость нулевого дня Accellion FTA 23 декабря 2020 года – прямо в начале рождественских каникул.
Хотя хакеры пока не сообщают количество организаций, пострадавших в результате атаки на MOVEit Transfer, они заявили, что жертвы вскоре появятся на их сайте утечки данных, если переговоры о выкупе не завершаться в пользу киберпреступников. Однако представитель подтвердил, что этап активного вымогательства пока что, действительно, не начат. Как мы сообщали ранее , хакеры, скорее всего, пока заняты структурированием данных и определяют их ценность.
Представитель вымогательской банды также сделал весьма громкое и интересное заявление: хакеры якобы удалили со своих носителей все данные, похищенные у правительств, военных и детских больниц во время атаки на MOVEit Transfer. Неизвестно, говорят ли злоумышленники правду, но если они заботятся о своей репутации, после подобных заявлений своё слово нужно держать.
“Я хочу сразу сказать вам, что мы не собираемся атаковать военные и детские больницы, правительство и т.д., поэтому их данные были удалены”, – сообщили Clop.
Тем временем, затронутые жертвы, которые, разумеется, первые узнали о компрометации своих данных, понемногу делают публичные заявления об этом. Так, Zellis, британский поставщик решений для расчёта заработной платы и управления персоналом, подтвердил, что из-за этих атак произошла утечка данных, которая также повлияла на некоторых его клиентов.
Как сообщается, компрометация Zellis повлияла на такие крупные компании, как British Airways, BBC и британскую аптечную сеть Boots. То есть данные этих компаний не ушли в лапы хакерам напрямую после атаки на MOVEit Transfer, однако, так как все эти компании были клиентами Zellis, злоумышленники всё равно получили своё.
К сожалению, как мы видели в предыдущих атаках Clop на MFT-платформы, с течением времени список жертв будет лишь расти и расти, поэтому мы ещё не раз услышим громкие заявления о компрометации крупных компаний.