Вымогатели Clop «прощупывали почву» для атаки на MOVEit Transfer ещё в 2021 году

Как стало недавно известно благодаря информации от исследователей компании Kroll , киберпреступники из вымогательской банды Clop экспериментировали со способами эксплуатации уязвимости нулевого дня MOVEit Transfer, официально зарегистрированной как CVE-2023-34362 , ещё в июле 2021 года, а потом ещё раз в апреле 2022 года. То есть хакеры начали «прощупывать почву» для атаки ещё два года назад.

Данный факт показывает терпеливость, методичность и уровень подготовки хакеров — атаку они планировали долгое время, и когда настал час, провернули всё быстро и без лишнего шума. А когда компания Ipswitch , разработчик MOVEit Transfer , обнаружила факт компрометации, было уже слишком поздно.

Так же, впрочем, было и с атакой на Fortra GoAnywhere в начале этого года, и с атакой на Accellion FTA в конце 2020 года в том числе. Как бы оперативно не действовали специалисты по кибербезопасности, они банально не поспевают за скандально известными вымогателями.

Как поговаривают эксперты, хакеры Clop постоянно находятся в поисках уязвимостей, эксплойтов и прочих обходных путей. В сети даже ходит информация о том, что Clop сама зачастую выступает брокером начального доступа ( IAB ) для других объединений злоумышленников, разумеется, не бесплатно. И такой подход лишь в очередной раз доказывает, что опыта компрометации у киберпреступников предостаточно.

Напомним, что атака на сервис MOVEit Transfer началась 27 мая, во время продолжительного праздника «День памяти» в США, когда и стало известно о многочисленных организациях, данные которых были похищены. Сначала о принадлежности Clop к данной атаке предположили эксперты Microsoft Threat Intelligence , а чуть позже и сами вымогатели вышли на популярные СМИ и взяли на себя ответственность за содеянное .

Точное число компаний, затронутое атакой, ещё ни разу не было названо ни представителями Clop, ни представителями MOVEit Transfer, однако, как утверждают сами хакеры, список включает в себя сотни компаний. А буквально вчера вымогатели выдвинули пострадавшим от атаки организациям ультиматум, призывая жертв самих связаться с хакерами по предоставленной электронной почте в срок до 14 июня.