Министерство энергетики взломало российскую банду вымогателей
Представители министерства национальной безопасности заявили в четверг, что Министерство энергетики и несколько других федеральных агентств были скомпрометированы в результате глобального взлома программного обеспечения для передачи файлов, популярного среди предприятий и правительств, которое совершила российская банда кибер-вымогателей, но не ожидалось, что последствия будут значительными.
Но для других, среди которых могут быть сотни жертв от промышленности до высшего образования, включая спонсоров по крайней мере двух государственных автосалонов, взлом начинает проявлять некоторые серьезные последствия.
Джин Истерли, директор Агентства кибербезопасности и безопасности инфраструктуры, заявил журналистам, что, в отличие от Accuracy, Замаскированная хакерская кампания SolarWinds Эта кампания, приписываемая поддерживаемым государством российским разведчикам и месяцам подготовки, была относительно короткой и схематичной и быстро завоевала популярность.
«Исходя из наших обсуждений с отраслевыми партнерами… эти взломы не использовались для получения более широкого доступа, обеспечения устойчивости в целевых системах или кражи конкретной ценной информации — короче говоря, насколько мы понимаем, эта атака очень оппортунистична. “, – сказала Эстер.
Она добавила: «Хотя мы глубоко обеспокоены этой кампанией и срочно работаем над ней, это не такая кампания, как SolarWinds, которая представляет системный риск для нашей национальной безопасности или сетей нашей страны».
Высокопоставленный представитель CISA заявил, что ни американские военные, ни разведывательное сообщество США не пострадали. Представитель Министерства энергетики США Чад Смит заявил, что два агентства были взломаны, но не сообщил подробностей.
Известные жертвы включают Бюро транспортных средств Луизианы, Департамент транспорта штата Орегон, правительство провинции Новая Шотландия, British Airways, Британскую радиовещательную корпорацию и британскую сеть аптек Boots. Эксплойт MOVEit широко используется компаниями для безопасного обмена файлами. Эксперты по безопасности говорят, что это может включать конфиденциальные финансовые и страховые данные.
Чиновники Луизианы заявили в четверг, что люди с водительскими правами или регистрацией транспортного средства в штате, вероятно, раскрыли свою личную информацию. Это включало ваше имя, адрес, номер социального страхования и дату рождения. Поощряйте жителей Луизианы замораживать свои кредиты, чтобы защититься от кражи личных данных.
Департамент транспорта штата Орегон подтвердил в четверг, что злоумышленники получили доступ к личной информации, в том числе конфиденциальной, около 3,5 миллионов человек, которым государство выдало удостоверения личности или водительские права.
Синдикат программ-вымогателей Cl0p, стоящий за взломом, объявил на прошлой неделе на своем темном веб-сайте, что его жертвы, которых, как он отметил, исчисляются сотнями, должны были звонить до среды, чтобы договориться о выкупе или рискнуть, что украденные конфиденциальные данные будут удалены в Интернете.
Банда, являющаяся одним из самых плодовитых синдикатов киберпреступников в мире, также заявила, что удалит любые украденные данные из правительств, городов и полицейских управлений.
Высокопоставленный чиновник CISA сообщил журналистам, что пострадало «небольшое количество» федеральных агентств, отказавшись назвать их, и сказал: «Это не крупномасштабное подавление, затронувшее большое количество федеральных агентств». Чиновник, который говорил на условиях анонимности, чтобы обсудить нарушение, сказал, что ни одно федеральное агентство не получало запросов на вымогательство, и никакие данные из пострадавшего федерального агентства не просочились в Интернет через Cl0p.
Чиновник сказал, что официальные лица США «не имеют доказательств, позволяющих предположить координацию между Cl0p и российским правительством».
Материнская компания американского производителя MOVIEit, Progress Software уведомила клиентов о взломе 31 мая. И выпустил патч. Но исследователи кибербезопасности говорят, что к тому времени могли быть незаметно украдены конфиденциальные данные десятков, если не сотен компаний.
Высокопоставленный чиновник CISA сказал: «На данный момент мы видим отраслевые оценки в несколько сотен жертв по всей стране». Раскрытие информации о взломе зависит от страны. Публичные компании, поставщики медицинских услуг и некоторые поставщики критически важной инфраструктуры имеют нормативные обязательства.
Фирма по кибербезопасности SecurityScorecard заявила, что обнаружила 2500 уязвимых серверов MOVEit в 790 организациях, включая 200 государственных учреждений. Она сказала, что не может разбить эти агентства по странам.
Согласно данным федерального контракта, Управление валютного контролера Министерства финансов использует MOVEit. Пресс-секретарь Стефани Коллинз заявила, что агентство знает о взломе и внимательно следит за ситуацией. Компания заявила, что «проводит подробный судебный анализ системной активности и не обнаружила никаких признаков утечки конфиденциальной информации». В нем не упоминалось, как агентство использует программное обеспечение для передачи файлов.
Аналитик угроз SecurityScorecard Джаред Смит сказал, что хакеры активно ищут цели, взламывают их и похищают данные как минимум с 29 марта.
Это не первый случай, когда Cl0p взламывает программное обеспечение для передачи файлов, чтобы получить доступ к данным, которые затем можно использовать для шантажа компаний. Другие примеры включают серверы GoAnywhere в начале 2023 года и Устройства приложения Accellion File Transfer в 2020 и 2021 годах.
В четверг Associated Press отправило Cl0p электронное письмо с вопросом, какие правительственные учреждения оно взломало. Он не получил ответа, но банда разместила новое сообщение на своем просочившемся темном веб-сайте, в котором говорилось: «Мы получаем много электронных писем с правительственными данными, и мы их не получили, мы полностью удалили эта информация, которую мы только заинтересованы делать “.
Эксперты по кибербезопасности говорят, что преступникам Cl0p нельзя доверять, чтобы они сдержали свое слово. Алан Леска из Recorded Future сказал, что ему известно как минимум о трех случаях, когда данные, украденные мошенниками-вымогателями, появлялись в даркнете через шесть-десять месяцев после того, как жертвы заплатили выкуп.
–
Репортеры Ассошиэйтед Пресс Сара Кляйн из Батон-Руж, штат Луизиана, Юджин Джонсон из Сиэтла, а также Номан Мерчант и Ребекка Сантана из Вашингтона внесли свой вклад в этот отчет.
Фрэнк Багак, Associated Press
«Интернет-первопроходец. Непреклонный нарушитель спокойствия. Знаток поп-культуры. Студент-любитель».
