Если вы не скажете многофакторной аутентификации (MFA) твердое “да”, последствия могут быть катастрофическими. Конфиденциальные данные, принадлежащие примерно 50 глобальным предприятиям, выставлены на продажу – а в некоторых случаях уже проданы – в даркнете после масштабной кампании по краже информации. Среди очевидных жертв – американская инженерно-коммунальная фирма Pickett and Associates, японский гигант жилищного строительства Sekisui House и крупнейшая испанская авиакомпания Iberia.
Вор, известный под никами Zestix или Sentap, похищает данные с корпоративных порталов обмена файлами, используя скомпрометированные облачные учетные данные, полученные с помощью вредоносного ПО, похищающего информацию. И ни одна из предполагаемых жертв, по данным израильской компании по кибербезопасности Hudson Rock, специализирующейся на краже информации, не внедрила многофакторную аутентификацию (MFA).
Украденные учетные данные в сочетании с отсутствием MFA – это всегда рецепт катастрофы, как мы видели в предыдущих крупных утечках, таких как Change Healthcare, Британская библиотека и взломы баз данных клиентов Snowflake.
“Поскольку перечисленные ниже организации не внедрили MFA, злоумышленник входит прямо через парадную дверь”, – говорится в отчете компании по кибербезопасности, опубликованном в понедельник. “Никаких эксплойтов, никаких куки – просто пароль”.
Нам сообщили, что Zestix получает доступ после того, как сотрудники случайно загружают на свои устройства файлы, содержащие вредоносное ПО, похищающее информацию. Вредоносное ПО для кражи данных, такое как RedLine, Lumma или Vidar, затем собирает сохраненные учетные данные и историю браузера.
Киберпреступник, который действует как брокер первоначального доступа и вымогатель как минимум с 2021 года, специально нацелен на платформы синхронизации и обмена корпоративными файлами (EFSS), такие как ShareFile от Progress Software, Nextcloud и OwnCloud.
The Register обратился ко всем предполагаемым компаниям-жертвам, перечисленным в этой статье, а также к поставщикам программного обеспечения для обмена файлами. На момент публикации только одна из них, Progress, ответила на наши запросы.
“Расследование Hudson Rock показало, что эти недавние компрометации корпоративных порталов обмена файлами, включая экземпляры ShareFile, не были результатом уязвимостей платформы, а соответствовали использованию учетных данных, ранее украденных с устройств, зараженных вредоносным ПО, похищающим информацию”, – сообщил нам представитель Progress, добавив, что компрометации “по-видимому, включали использование действительных учетных данных в средах, где не была внедрена многофакторная аутентификация, что могло обеспечить несанкционированный доступ”.
Представитель добавил: “Progress продолжает подчеркивать важность внедрения многофакторной аутентификации в качестве широко признанного средства контроля для снижения риска атак, основанных на учетных данных”.
Мы обновим эту статью, если и когда получим какие-либо дополнительные ответы.
Знакомьтесь, предполагаемые жертвы
Большинство организаций, перечисленных в отчете, опубликованном в понедельник, располагают очень конфиденциальными данными и охватывают критически важные сектора, такие как коммунальные услуги, авиация, робототехника, жилищное строительство и государственная инфраструктура, что делает эту масштабную утечку данных особенно тревожной.
The Register на прошлой неделе сообщил, что Pickett and Associates, инженерная фирма из Флориды, среди клиентов которой крупные коммунальные предприятия США, оказалась в числе предполагаемых жертв после того, как похититель данных выставил на продажу 139 ГБ инженерных данных о Tampa Electric Company, Duke Energy Florida и American Electric Power. Zestix продавал этот клад за 6,5 биткойнов, что составляет около 585 000 долларов США.
В то время Pickett отказалась от комментариев, а представитель Duke Energy сообщил The Register, что компания расследует заявления преступника.
Hudson Rock сообщает, что Zestix получил инженерные данные, злоупотребив украденными учетными данными ShareFile.
Турецкая компания Intecro Robotics, производящая оборудование для аэрокосмических испытаний и оборонную робототехнику, также, как сообщается, пострадала через ShareFile без MFA. Этот набор данных объемом 11,5 ГБ, как сообщается, содержит важную военную интеллектуальную собственность.
Maida Health из Бразилии – еще одна из примерно 50 предполагаемых жертв, и набор данных объемом 2,3 ТБ, полученный через экземпляр Nextcloud, как сообщается, содержит медицинские записи и конфиденциальную личную информацию, принадлежащую бразильской военной полиции и членам их семей.
Burris & Macomber, юридическая фирма, представляющая Mercedes-Benz USA в делах о “лимонных законах” и гарантийных спорах, также оказалась предполагаемой жертвой, причем преступник утверждает, что украл активные дела о “лимонных законах”, стратегии защиты и политику урегулирования из 48 штатов, а также тысячи записей клиентов, содержащих VIN-коды, номерные знаки, домашние адреса и номера телефонов.
Утечка данных Iberia Airlines, как сообщается, содержит 77 ГБ технических данных по безопасности и конфиденциальную информацию о парке самолетов.
Скомпрометированные инженерные серверы, принадлежащие CRRC MA – Массачусетскому филиалу крупнейшего в мире производителя подвижного состава – как сообщается, содержали полные чертежи сигнализации, списки SCADA RTU и “умышленно скрытые” отчеты об испытаниях дверей, систем отопления, вентиляции и кондиционирования воздуха и силовых установок, а также конфиденциальную информацию о безопасности, такую как GPS-координаты диспетчерских и аккумуляторных комнат.
И список предполагаемых жертв можно продолжать … и продолжать, и продолжать.
Гигиена учетных данных
В отчете проиллюстрирована растущая проблема с вредоносным ПО, похищающим информацию, излюбленным методом банд, занимающихся вымогательством, и других преступников, движимых финансовыми мотивами.
В нем также подчеркивается растущая тенденция, когда преступники просто входят в систему – а не взламывают – облачные учетные записи, о чем эксперты по безопасности предупреждают последние пару лет.
Кроме того, как сообщает Hudson Rock, “в то время как некоторые учетные данные были собраны с недавно зараженных машин, другие годами лежали в журналах, ожидая, когда такой злоумышленник, как Zestix, воспользуется ими”. Это, добавляет команда, свидетельствует о “всеобщем провале” в корпоративной гигиене учетных данных, когда организации пренебрегают сменой паролей и аннулированием сеансов.
“Пришло время организациям внедрить MFA и отслеживать скомпрометированные учетные данные своих сотрудников”, – отмечает фирма, занимающаяся вопросами безопасности. Мы не можем не согласиться. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
9/10
Автор – Jessica Lyons
