Госучреждения и компании США подверглись российской хакерской атаке из-за уязвимости у файлообменника MOVEit

Ряд американских госучреждений подвергся хакерской атаке со стороны группировки, которую связывают с Россией. Требований о выкупе пока не поступало.

Судя по всему, речь идёт об «уязвимости нулевого дня» в программном обеспечении MOVEit (CVE-2023-34362). Как объяснили в FortiGuard, она представляет собой так называемую SQL-инъекцию, которая может позволить хакерам получить доступ к базе данных MOVEit Transfer. Эта программа от Progress Software используется для защищённой передачи файлов через протоколы SFTP, SCP и HTTP. По имеющимся данным, она используется рядом крупных корпораций и госкомпаний по всему миру.

Так, недавно от неё пострадал британский регулятор в области теле- и радиовещания Ofcom. Сообщалось, что злоумышленникам удалось заполучить «ограниченное количество информации об определенных компаниях», деятельность которой регулировалась органом. Также в руках взломщиков оказались личные данные 412 сотрудников Ofcom.

«Мы предприняли немедленные действия, чтобы предотвратить дальнейшее использование службы MOVEit и внедрить рекомендуемые меры безопасности. Мы также оперативно уведомили все затронутые компании, регулируемые Ofcom, и продолжаем предлагать поддержку и помощь нашим коллегам. Во время атаки ни одна система Ofcom не была скомпрометирована», — написал регулятор.

В начале июня Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение о новой киберугрозе. По информации ведомства, уязвимость с начала года активно эксплуатирует связанная с Россией хакерская группировка CL0P Ransomware Gang (она же — TA505 и Lace Tempest). Отмечается, что обычно эти взломщики требуют выкуп и угрожают опубликовать украденные данные, если не получат его.

«В конце января 2023 года группа CL0P запустила кампанию с использованием уязвимости нулевого дня для нацеливания на платформу GoAnywhere MFT. Группа утверждала, что украла данные с платформы GoAnywhere MFT, которая затронула примерно 130 жертв в течение 10 дней <..> В течение следующих нескольких недель, пока группа анализировала украденные данные, руководителям высшего звена компаний-жертв были отправлены записки о выкупе.. В записках о выкупе содержалась угроза опубликовать украденные файлы на сайте утечки данных CL0P, если жертвы не заплатят сумму выкупа», — говорится в публикации.

Теперь CNN сообщает, что «несколько» федеральных правительственных учреждений США также пострадали от атаки при помощи CVE-2023-34362. Сообщается, что CISA «оказывает поддержку нескольким федеральным агентствам, которые столкнулись со вторжениями» и работает «в срочном порядке, чтобы понять последствия и обеспечить своевременное устранение».

Отмечается, что кроме госучреждений хакерские атаки «могут затронуть ещё несколько сотен» компаний и организаций в Штатах. При этом, атаки не похожи на другие: обычно Cl0p сразу требует выкуп, но в этот раз не стала выдвигать никаких требований.

В мае ФБР объявило в розыск российского хакера, который якобы заработал 200 миллионов долларов при помощи вирусов-вымогателей. Тогда же американские СМИ заявили, что российские хакеры под видом суданской группировки атаковали Швецию.