Данные о 100 000 медицинских работников Новой Шотландии украдены в результате взлома MOVEit

Данные по меньшей мере 100 000 сотрудников сектора здравоохранения Новой Шотландии были украдены в результате уязвимости в приложении для передачи файлов MOVEit компании Progress Software, сообщила провинция во вторник.

Украденные данные включают номера социального страхования, адреса и банковскую информацию сотрудников Nova Scotia Health, государственной службы и медицинского центра IWK, который является крупной детской больницей и травматологическим центром.

Провинции используют MOVEit для передачи информации о заработной плате. Он начал уведомлять жертв.

Банда вымогателей Clop/Cl0p сообщила BleepingComputer, что стоит за атаками с целью кражи данных MOVEit Transfer. Для групп информационной безопасности, использующих службу Microsoft Defender Threat Intelligence, Microsoft называет эту группу Lace Tempest.

По данным BBC, среди других жертв - BBC, British Airways, британская аптечная сеть Boots и ирландская авиакомпания Aer Lingus.

Компания Progress Software объявила об уязвимости нулевого дня, связанной с внедрением SQL-кода, 31 мая. Исследователи из Mandiant считают, что самые ранние доказательства эксплуатации произошли 27 мая, что привело к развертыванию веб-оболочек и краже данных. В некоторых случаях, по словам исследователей, данные были украдены в течение нескольких минут после развертывания веб-оболочек.

Уязвимость известна как CVE-2023-34362.

За последние два с половиной года хакеры использовали дыры в приложениях для передачи файлов, включая GoAnywhere MFT, IBM Apera Faspex и Accelion FTA.

Многие исследователи говорят, что ИТ-отделы, которые либо не установили исправление сразу, либо использовали незатронутые версии локальной или облачной версии MOVEit, должны предполагать, что их системы были скомпрометированы.

Исследователи из Huntress Labs сообщили, что по состоянию на 1 июня сканирование сети с помощью поисковой системы Shodan показало, что в открытом Интернете имеется более 2500 общедоступных серверов.

Исследователи Huntress создали эксплойт, позволяющий получить доступ к оболочке с помощью Meterpreter, перейти к Windows NT AUTHORITY\SYSTEM и взорвать полезную нагрузку программы-вымогателя Cl0p. «Это означает, что любой неаутентифицированный злоумышленник может активировать эксплойт, который мгновенно запустит программу-вымогатель или выполнит любое другое вредоносное действие», — заключают исследователи. «Вредоносный код будет запускаться под пользователем moveitsvc сервисной учетной записи MOVEit, который входит в группу локальных администраторов. Злоумышленник может отключить антивирусную защиту или выполнить любой другой произвольный код».

Исследователи из CrowdStrike говорят, что веб-шелл, созданный злоумышленником, будет использовать существующую учетную запись пользователя с уровнем разрешений «30» или новое случайно сгенерированное имя пользователя для установления постоянного сеанса в приложении MOVEit. В их блоге есть инструкции о том, как команды информационной безопасности могут расследовать возможную компрометацию.

Украденные данные могут быть использованы для атак социальной инженерии или получения выкупа, отметил Тим Уэст, руководитель отдела анализа угроз WithSecure. Он отметил, что British Airways заявила, что платежная информация ее сотрудников была украдена, но организациям следует ожидать, что большая часть данных будет выкуплена и/или загружена на сайт утечки.

Наша опытная команда журналистов и блоггеров предлагает вам интересные интервью, видео и контент, предназначенный для ИТ-специалистов и руководителей различных направлений бизнеса.