MOVEit снова в беде: хакеры не дремлют!
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Еще одна серьезная уязвимость MOVEit может быть на подходе – вот что мы знаем. Старая пословица гласит: «Один раз укушенный, дважды осторожный», поэтому, когда исследователи безопасности видят, как хакеры интенсивно сканируют инстансы MOVEit, неудивительно, что они бьют тревогу. Агентство по анализу угроз GreyNoise сообщило о «заметном росте» числа злонамеренных сканирований систем, работающих с программным обеспечением Progress MOVEit Secure Managed File Transfer. В 2023 году была обнаружена серьезная уязвимость в этом программном обеспечении, которую быстро подхватили Cl0p – тогда всемирно известная российская группировка-вымогатель. Хакеры воспользовались этой уязвимостью, чтобы украсть конфиденциальную информацию сотен организаций и миллионов людей, попутно выбивая деньги. Государственные учреждения, медицинские компании, IT-фирмы — все они пострадали.
Несмотря на то, что уязвимость была устранена и большинство инстансов были запатчены, преступники продолжили сканирование Интернета в поисках потенциальных жертв. GreyNoise утверждает, что в обычный день количество сканирований было «минимальным» — менее 10 IP-адресов в день. Однако 27 мая это число резко возросло до более чем 100 уникальных IP, а 28 мая достигло 319. С тех пор количество IP-адресов не опускалось ниже 200 и колебалось вокруг 300. Это, как полагают исследователи, является доказательством того, что кто-то знает что-то важное и ищет способ воспользоваться этим.
За последние 90 дней более 600 уникальных IP-адресов были связаны с этой кампанией, и это число продолжает стабильно расти. Большинство таких IP находятся в США, но также есть заметные фигуры из Германии, Японии, Сингапура, Бразилии, Нидерландов, Южной Кореи, Гонконга и Индонезии.
Инструменты безопасной передачи файлов, такие как MOVEit, популярны среди малых и средних предприятий, а также крупных корпораций, поскольку они обеспечивают безопасный и бесшовный способ обмена важными и часто чувствительными файлами. Это делает их популярной целью, и, помимо решения от Progress, под удар также попали другие инструменты, такие как GoAnywhereMFT, IBM Aspera Faspex и другие.
Очередной взрыв интереса к MOVEit явно дразнит воображение не только айтишников, но и местных хакеров, которые теперь во всю натягивают свои пальцы на клавиатурах. Как же заманчиво на фоне такой незадачи возвысить собственный статус гуру киберпреступности!
Агентство GreyNoise, словно антиквариат, снова гнет свою линию о "зловещем росте" сканирования MOVEit. Пара десятков IP-адресов "взлетели" до сотен — прямо как на рынке криптовалют в день объявления о новом хайпе. И где, спрашивается, были все эти хакеры раньше? Возможно, прятались под теплою шубой, пока не узнали, что на дворе снова хакерские танцы.
Конечно, мы помним, как Cl0p, эта шаловливая группа вымогателей, устраивала сенсации с крадеными данными. Российские хакеры с жемчужными улыбками и хитрым блеском в глазах, уходящие в разговоры о доверии и безопасности. Но не стоит забывать — раз уязвимость прикрыли, это не значит, что хакеры теряют интерес к старинным методам "заработка". Чёрт побери, они ищут тех, кто забыл про обязательное "переобувание" системы.
Уж не сказывается ли это на охоте за дичью? Ведущие страны, от США до Юго-Восточной Азии, активно участвуют в методах киберразведки, и все они, похоже, заглядываются на MOVEit. Все прекрасно понимают, что кривая атака, сплошь из IP-адресов, значит одно — аппетиты хакеров только растут, а средства их охоты становятся всё более изощрёнными.
Интересно, что легитимные компании, ставшие целями, сами активно участвуют в пиаре своих систем. Действительно, сетевые платформы, которым вы доверяете свои файлы, кажутся как никогда актуальными — не в силу их безопасности, а благодаря тому, что всегда рядом есть «План Б», где уже готовы контракты на восстановление данных, к примеру, с Cl0p. Как же удобно: все готовы заняться кибер-врожденностью ради оптимизации кошелька.