За несколько лет хакеры существенно отточили свою тактику, что мы и видели в атаке на GoAnywhere.
Как стало недавно известно благодаря информации от исследователей компании Kroll, киберпреступники из вымогательской банды Clop экспериментировали со способами эксплуатации уязвимости нулевого дня MOVEit Transfer, официально зарегистрированной как CVE-2023-34362 , ещё в июле 2021 года, а потом ещё раз в апреле 2022 года. То есть хакеры начали «прощупывать почву» для атаки ещё два года назад.
Данный факт показывает терпеливость, методичность и уровень подготовки хакеров — атаку они планировали долгое время, и когда настал час, провернули всё быстро и без лишнего шума. А когда компания Ipswitch, разработчик MOVEit Transfer, обнаружила факт компрометации, было уже слишком поздно.
Так же, впрочем, было и с атакой на Fortra GoAnywhere в начале этого года, и с атакой на Accellion FTA в конце 2020 года в том числе. Как бы оперативно не действовали специалисты по кибербезопасности, они банально не поспевают за скандально известными вымогателями.
Как поговаривают эксперты, хакеры Clop постоянно находятся в поисках уязвимостей, эксплойтов и прочих обходных путей. В сети даже ходит информация о том, что Clop сама зачастую выступает брокером начального доступа (IAB) для других объединений злоумышленников, разумеется, не бесплатно. И такой подход лишь в очередной раз доказывает, что опыта компрометации у киберпреступников предостаточно.
Напомним, что атака на сервис MOVEit Transfer началась 27 мая, во время продолжительного праздника «День памяти» в США, когда и стало известно о многочисленных организациях, данные которых были похищены. Сначала о принадлежности Clop к данной атаке предположили эксперты Microsoft Threat Intelligence, а чуть позже и сами вымогатели вышли на популярные СМИ и взяли на себя ответственность за содеянное .
Точное число компаний, затронутое атакой, ещё ни разу не было названо ни представителями Clop, ни представителями MOVEit Transfer, однако, как утверждают сами хакеры, список включает в себя сотни компаний. А буквально вчера вымогатели выдвинули пострадавшим от атаки организациям ультиматум, призывая жертв самих связаться с хакерами по предоставленной электронной почте в срок до 14 июня.
Источник: securitylab