- 18.01.19
- 1,604
- 60,333 ₽
- 15
Чтобы видеть изображения, необходимо зарегистрироваться.
Аналитики компании FireEye предупреждают, что с декабря 2020 года по январь 2021 года около 100 компаний и организаций по всему миру, использующих файлообменный сервис Accellion FTA (File Transfer Application), подверглись взлому. Эксперты связывают эту активность с хакерской группой FIN11.
Согласно отчету, для атак хакеры применяли четыре уязвимости в FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 CVE-2021-27104), устанавливали веб-шелл DEWMODE, а затем использовали его для кражи файлов, хранящихся на FTA-устройствах жертв.
Проблема заключается в том, что Accellion FTA — это легаси-сервис, который разворачивают локально для обмена большими файлами, которые нельзя передать по электронной почте. В начале 2000-х, когда появился FTA, еще не были доступны Dropbox, Google Drive и другие похожие решения.
В одном из первых
Чтобы видеть ссылки, необходимо зарегистрироваться.
компании Accellion говорилось, что еще в середине декабря 2020 года разработчикам стало известно об критической уязвимости в FTA, и в течение следующих 72 часов среди клиентов, использующих FTA, был распространен патч.В итоге разработчики Accellion выпустили несколько «волн» исправлений, но каждый раз подчеркивали, что FTA уже давно является устаревшим продуктом, и призывали своих клиентов перейти на новую платформу Kiteworks. А в текущем месяце в компании и вовсе заявили, что окончательно прекратят поддержку FTA 30 апреля 2021 года.
По собственным
Чтобы видеть ссылки, необходимо зарегистрироваться.
представителей компании Accellion, из примерно 300 клиентов FTA жертвами атак стали «менее 100», а среди них менее 25 пострадали от кражи данных. В FireEye уточняют, что некоторые из этих 25 клиентов подвергаются шантажу, и хакеры требуют у них выкуп. Злоумышленники связываются со своими жертвами по электронной почте и требуют выкуп в биткоинах, а в противном случае угрожают опубликовать украденную информацию на сайте шифровальщика Clop.
Чтобы видеть изображения, необходимо зарегистрироваться.
Вымогательское послание
Интересный факт: несмотря на то, что данные жертв публикуются на сайте Clop, у пострадавших компаний не было зашифровано ни одного сегмента внутренних сетей. То есть они стали жертвами классического вымогательства, а не шифровальщика.
Аналитики FireEye разделяют эти атаки на два разных кластера активности, которые в компании отслеживают как UNC2546 (эксплуатация уязвимостей нулевого дня на устройствах FTA) и UNC2582 (рассылка вымогательских электронных писем). При этом, как сообщается теперь, инфраструктура обеих группировок пересекается с крупной хак-группой FIN11, которую FireEye обнаружила в прошлом году.
Пострадавшие
Еще до выхода отчета FireEye исследователи Risky Business обнаружили данные пострадавших компаний на сайте операторов Clop. Так, хакеры уже опубликовали информацию следующих жертв:
- компания Fugro, занимающаяся геоданными;
- ИТ-компания Danaher;
- крупнейшая телекоммуникационная компания Сингапура Singtel;
- юридическая фирма Jones Day.
- Резервный банк Новой Зеландии;
- Комиссия по ценным бумагам и инвестициям Австралии (ASIC);
- юридическая фирма Allens;
- Университет Колорадо;
- аудиторская служба штата Вашингтон;
- медицинский исследовательский институт Бергхофера QIMR;
- сеть розничных магазинов Kroger.
