Ответственность за атаку взяла на себя группировка Clop (вариант написания — Cl0p), которую мировые СМИ традиционно ассоциируют с Россией.
В США взломаны оказались сразу несколько государственных учреждений. В беседе с CNN исполнительный помощник директора Агентства США по кибербезопасности (CISA) Эрик Гольдштейн, комментируя атаку, признался, что ведомство «оказывает поддержку нескольким федеральным агентствам, которые столкнулись с вторжениями» в их инфраструктуру.
«Мы проводим срочную работу, чтобы понять последствия атаки и обеспечить их своевременное устранение», — сказал Гольдштейн, добавив, что среди тех, чьи документы были украдены, также могут быть сотни американских компаний. При этом точный перечень ведомств пока держится в секрете, но Bloomberg стало известно, что в нем есть Минэнерго США, одна из национальных лабораторий, а также хранилище радиоактивных отходов.
Западные медиа полагают, что за атакой стоят киберпреступники из группировки вымогателей Clop. В нее входят в том числе русскоговорящие члены, поэтому в западных СМИ их считают «русскими хакерами». Clop позиционирует себя командой, преследующей исключительно финансовые цели: они заражают системы, чтобы затем получить выкуп. Однако американские официальные лица отмечают, что пока ни одно из зараженных государственных учреждений страны требований о выкупе не получало.
В своем даркнет-блоге члены Clop признали, что именно они стоят за масштабной атакой на американские организации. Они написали, что считают себя одной из лучших группировок, «предоставляющих услуги пентеста постфактум», а также сделали ряд заявлений касательно судьбы зараженных организаций.
От коммерческих компаний хакеры намерены требовать выкуп, в противном случае киберпреступники угрожают опубликовать полученные данные. Размер выкупа определяется в переписке. По данным американских медиа, речь может идти о миллионах долларов в каждом отдельном случае. Но, например, в Shell уже заявили, что на переговоры не пойдут.
Хакеры использовали уязвимость в популярном ПО
Атака, в результате которой хакеры украли данные сотен компаний, продолжается уже больше двух недель, а американские компании и госорганы стали вторым звеном в цепи. В списке первых целей были «Би-би-си», British Airways и другие организации. Для доказательства взлома представители Clop уже опубликовали в сети данные 13 тысяч лондонских водителей.
Для атаки используется так называемая уязвимость нулевого дня в программном обеспечении MOVEit Transfer. Его применяют тысячи компаний по всему миру для безопасной передачи файлов между партнерами и клиентами. Компания Progress Software, «дочка» которой (Ipswitch) выпустила MOVEit Transfer, признала наличие проблемы и начала устранять обнаруженные уязвимости, число которых продолжило расти (утром 15 июня была устранена третья проблема, а число необнаруженный уязвимостей пока неизвестно). Исследователи из компании Kroll пришли к еще более неутешительным результатам: по их данным, хакеры из Clop нашли уязвимость еще в 2021 году и все это время тестировали ее, пока наконец не начали массированную атаку.
Это не первая подобная акция в истории вымогателей из Clop. До этого они брали на себя ответственность за атаки, совершенные с помощью уязвимостей в других популярных сервисах для безопасной передачи данных (Accellion FTA в 2020 году и Fortra GoAnywhere в начале 2023-го). Тогда группировка не раскрыла полученных сумм выкупов.
Кроме того, 14 июня сразу несколько хакерских группировок объявили о планах провести масштабную атаку на европейскую банковскую систему. Как стало известно, свои усилия для достижения этой цели объединили хактивисты Killnet, представители считавшейся разгромленной Revil, а также члены Anonymous Sudan. Эту атаку в альянсе назвали «сильнейшей кибератакой в новейшей истории мира». Ее целями называются «многие европейские банки», также заявляется, что это будет не DDoS-атака. Киберактивисты дали понять, что считают деньги основной проблемой современного мира.