Злоумышленники выдвинули ультиматум после взлома MOVEit
Череда атак рансомварь-группировки Cl0p через уязвимость в софте для передачи файлов MOVEit достигладостигла кульминации: злоумышленники утверждают, что взломали сотни компаний и выдвинули ультиматум до 14 июня. Нулевой день на эскалацию привилегий и неавторизированный доступ в MOVEit, напомню, позволил массово скачать данные организаций, включая всевозможные конфиденциальные данные.
Между тем в списке взломов BBC, British Airways, Aer Lingus и другие крупные компании в Британии, США и Канаде. Что любопытно, в этот раз Cl0p не шантажирует пострадавших напрямую, а требует выйти с ними на связь для обсуждения выкупа самим. С чем связана смена тактики, неясно. Возможно, у группировки в рукаве действительно козырь на множество взломов, которые им лень обрабатывать лично. Так или иначе, этот масштабный взлом, судя по всему, снова забросит клопов-оппортунистов на верхушку рансомварь-иерархии текущего сезона.
Кроме того, исследователи обнаружили следы активности группировки по этому нулевому дню аж в июле 2021-го года. Логи взломанных компаний показывают, что злоумышленники на протяжение двух лет несколько раз тестировали уязвимость и свои инструменты для атаки.
В июле 2021-го Cl0p стучались командами на сервера вручную – видимо, примерно тогда был обнаружен задел под атаку. А в апреле 2022-го года по серверам массово прошлись уже с автоматизацией, собирая информацию о компаниях, к которым был доступ. Полировка клоповьих инструментов заняла ещё год перед их звёздным часом в конце мая. Собственно, это наглядно доказывает, что рансомварщик – это порою довольно продвинутая форма жизни, способная не только на поиск мгновенного вознаграждения, но и на многолетнюю работу на результат.