Кто такие банда Клоп? Российские хакеры, стоящие за атакой Би-би-си, Би-би-си, почтовые боты неистовствуют

Компании должны проверять журналы своих серверов за последние 90 дней, чтобы убедиться, что Клоп не посещал их тайно (Доминик Липински/PA Wire) — Предприятиям необходимо проверить журналы своих серверов за последние 90 дней, чтобы убедиться, что Клоп не посещал их тайно (Доминик Липински/PA Wire)

В понедельник стало известно, что десятки тысяч сотрудников в BBCBritish Airways, обувьи Aer Lingus, чьи данные были украдены Из-за кибератаки на поставщика услуг по расчету заработной платы Zellis. Microsoft обвинила в утечке данных А. Русский Банда киберпреступников называется Clop.

Но теперь исследователи кибербезопасности предупреждают, что этот инцидент еще не исчерпан — проблема гораздо шире, чем считалось ранее, и серьезные последствия еще впереди.

Российская киберпреступная банда Clop активен с февраля 2019 года.который пережил множество испытаний, включая рейды на сервер украинской полиции в июне 2021 года, в ходе которых были задержаны несколько украинцев. хакеры работать на них. По данным исследователей кибербезопасности, Клопу удалось атаковать не менее 230 компаний.

Кибератака была нацелена на уязвимость в системе безопасности Windows.

Атака произошла из-за того, что Zellis стала жертвой кибератаки через одного из своих сторонних поставщиков, службу облачного хранения «Dropbox для предприятий» под названием MOVEit. MOVEit запускал серверные приложения Microsoft для Windows, и хакеры обнаружили уязвимость в этих приложениях и использовали ее как доступ к данным о заработной плате Zellis.

Однако владелец MOVEit Progress говорит, что у него более 100 000 клиентов по всему миру. Хотя мы точно не знаем, сколько людей используют MOVEit, это означает, что проблема может коснуться гораздо большего числа жертв, чем нам известно, поскольку другие компании могут использовать это программное обеспечение для хранения конфиденциальной информации о компании в облаке.

«Любой, кто запускает MOVEit, должен предположить, что он мог быть взломан», — сказал The Standard Рик Холланд, директор по информационной безопасности глобальной фирмы по кибербезопасности ReliaQuest.

READ «Хейдстаун», «Энни», «Скрипач на крыше» прибывают в Кентукки-центр.

Мы надеемся, что у всех есть кайф в ответ на их появление.По нашим исследованиям, более 1000 серверов [in the world] Работают неисправленные версии программного обеспечения.

Он добавил, что у Клопа, по сути, есть «сокровищница» украденной информации для изучения. Они будут преследовать крупные организации, у которых есть деньги для оплаты, но может пройти некоторое время, прежде чем жертвы будут уведомлены или обнаружится, что их данные были скомпрометированы.

Значительный риск заключается в том, что данные о сотрудниках раскрываются в Интернете.

Десятки тысяч сотрудников BBC, вероятно, пострадали от утечки данных Zellis (архив PA)

К сожалению, новости о кибератаке Zellis не закончились — не для Zellis, Progress или десятков тысяч сотрудников BBC, British Airways, Boots и Aer Lingus, предупреждает Холланд.

У Клопа есть веб-сайт в Даркнете, куда он регулярно загружает дампы данных компаний, которые он взломал. Средства массовой информации и некоторые исследователи сообщают о Clop как о злоумышленниках-вымогателях, но банда не использует вредоносное ПО для блокировки компьютеров, угрожая при этом удалить данные, если выкуп в биткойнах не будет выплачен.

По словам Холланда, тот факт, что BBC, British Airways, Boots и Aer Lingus еще не указаны на веб-сайте, показывает, что Клоп, который является вымогателем, сейчас, вероятно, ведет переговоры с этими компаниями. Банда зарабатывает деньги, угрожая раскрыть конфиденциальные данные компании, если им не заплатят.

“Клопп хочет вести с ними переговоры. Обычно их образ действий заключается в том, чтобы настроить чат и электронную почту с компанией и сказать: “Эй, заплатите нам”. Их первый шаг — переговоры”, — объясняет он.

BA не ответила на комментарии Холланда о вымогательстве Клопом жертв утечки данных, но заявила, что «глубоко разочарована» тем, что кибератака Zellis помешала ее сотрудникам.

READ Российский театральный режиссер говорит: «Понятия не имею», почему запрет на выезд был снят | новости английского кино

BA предоставил затронутым сотрудникам доступ к специализированной службе, которая помогает обнаруживать потенциальное неправомерное использование личной информации и обеспечивает поддержку мониторинга личности.

The Standard связалась с Progress, BBC, Boots и Aer Lingus для получения комментариев.

Представитель Zellis сообщил The Standard: “Мы можем подтвердить, что эта глобальная проблема затронула небольшое количество наших клиентов, и мы активно работаем над их поддержкой. Затронуто не все проприетарное программное обеспечение Zellis, и нет никаких инцидентов или компрометаций, связанных с любая другая часть нашей собственности на ИТ».

Он добавил, что Zellis предприняла немедленные действия, отключив сервер, на котором запущено программное обеспечение MOVEit, и привлекла внешнюю группу экспертов по реагированию на инциденты безопасности для оказания помощи в криминалистическом анализе и постоянном мониторинге, а также уведомила ICO, DPC и NCSC в Великобритании и Ирландии.

Вы можете даже не знать, что вас взломали

Другая большая проблема заключается в том, что даже если в вашей компании есть хорошая группа безопасности, работающая и исправляющая недостатки Windows Server для ваших серверов, которые подключаются к MOVEit, они все равно могут с трудом определить, сделал ли Клоп толчок. Посещать.

По словам Холланда, чтобы обнаружить утечку данных, компаниям действительно необходимо проверять журналы своих серверов за последние 90 дней. Многие компании обычно хранят журналы только в течение 30 дней, а затем очищают их, включая клиентов ReliaQuest.

Кристофер Бадд, старший директор по исследованию угроз в британской фирме по кибербезопасности Sophos, соглашается: “Важно отметить, что исправление не удаляет какие-либо веб-осколки или другие артефакты взлома. Это делает обязательным, чтобы клиенты MOVEit также включали проверку на проникновение после публикации исправлений. как публиковать патчи. Одного патча недостаточно».

READ Китай принимает российские военные корабли, прошедшие Тайвань и Японию

Clop использовал атаки SQL-инъекций, которые являются типом эксплойта нулевого дня.

«Внедрить SQL очень просто, и у многих клиентов нет достаточного количества исторических серверных записей, связанных с их провайдером FTP», — объясняет г-н Холланд.

“Clop — опасная группа программ-вымогателей, и они были одними из первых, кто начал вымогать украденные данные, а не только программы-вымогатели. Учитывая их склонность к эксплуатации уязвимостей нулевого дня, они демонстрируют технические возможности, превосходящие многие группы вымогателей”.

К сожалению, никто не может предотвратить атаки на уязвимости нулевого дня, предупреждает Холланд: “Наиболее эффективными действиями являются скорость реагирования и смягчения последствий. Лучше всего быстрое исправление, обильное ведение журналов и мониторинг безопасности”.