Хакеры обокрали сотни компаний через уязвимость MOVEit

Одна из самых масштабных серий киберинцидентов этого года связана с эксплуатацией хакерами уязвимости в программном обеспечении MOVEit Transfer. Хакеры из группировки Clop успели взломать множество компаний, прежде чем вендор успел создать патчи.

Американская ИТ-компания Progress Software 31 мая сообщила об уязвимости, обозначенной как CVE-2023-34362 и связанной с программным обеспечением MOVEit Transfer (MFT), которое используется заказчиками для передачи файлов большого объема. Также пострадала облачная версия данного ПО - MOVEit Cloud.  За несколько дней до этого стало известно о подозрительной активности в сетях многих компаний, которые используют решения на основе ПО от Progress. В ходе расследования выяснилось, что неизвестные злоумышленники использовали уязвимость для SQL-запросов к базам данных и похищения данных.

В Progress Software заявляют, что в течение 48 часов после обнаружения угрозы клиенты были предупреждены о проблеме, а разработчики выпустил патч для системы безопасности. Однако, вскоре после этого начался вал сообщений о взломах компаний посредством использования уязвимости.

Исследователи Microsoft 5 июня представили отчет, согласно которому к атакам на пользователей ПО MOVEit Transfer причастны хакеры Lace Tempest, широко использующие программы-вымогатели, созданные группировкой Clop. Аналитики компании Croll спустя несколько дней заявили, что участники Clop проводили эксперименты по эксплуатации этой уязвимости еще с 2021 года.

Компания Huntress смоделировала цепочку атак на пользователей ПО MFT. Специалисты по кибербезопасности выяснили, что SQL-инъекции могли служить лишь первым этапом воздействия и открывали возможность к запуску произвольного кода. Также команда Huntress обнаружила новую уязвимость CVE-2023-35036, об исправлении которой Progress уведомила 9 июня. Вскоре, 15 июня, вендор рапортовал о том, что ему удалось закрыть еще одну уязвимость - CVE-2023-35708. Для реализации всех исправлений пришлось отключить MOVEit Cloud на 10 часов.

В то же время хакеры из группировки Clop сообщили о некоторых жертвах атаки и заявили, что начали переговоры о выкупе.

В сообщении в своем блоге эксперты компании Mandiant сообщили, что зафиксировали атаки на MOVEit Transfer c использованием веб-оболочки (web-shell), названной «Lemurloot». Хакеры маскировали веб-оболочки под файл Human.aspx, который является доверенным компонентом программного обеспечения MFT.

В числе пострадавших от атак оказались нефтяной гигант Shell, авикомпания British Airways, медиахолдинг BBC, правительство канадской провинции Новая Шотландия, финансовые организации 1st Source и First National Bankers Bank, а также крупные университеты, колледжи, пенсионные фонды и т.д.

Список жертв постепенно растет. Согласно данным KonBriefing, по состоянию на 26 июля атаки на корпоративных пользователей ПО MOVEit затронули в общей сложности 435 организаций и 22 млн человек. Более 70% пострадавших компаний зарегистрированы в США.

По мнению аналитиков Coveware, лишь малое количество жертв группировки Clop согласятся заплатить выкуп. Тем не менее, эксплуатация уязвимости в MFT может принести хакерам от 75 млн до 100 млн. долларов.