Мир за неделю: лондонских бобби опознают по фото

Полицейские под прикрытием стали жертвами утечки данных, британские спецслужбы отмечают юбилей кибератаки, изменившей взгляды на национальную безопасность, а исследователи уязвимости MOVEit Transfer насчитали почти тысячу жертв группировки Cl0p. Австралийские компании подсчитывают убытки от кибератак.

Число жертв, взломанных через уязвимости приложения MOVEit Transfer, приблизилось к первой тысяче

Кибератака, целью которой было приложение для передачи данных MOVEit от компании Progress Software, скомпрометировала почти одну тысячу организаций частного и государственного секторов по всему миру. Первые сведения об инциденте появились в конце мая, когда жертвами кибертак программ-вымогателей Cl0p стали ряд крупных британских компаний. Позднее к ним присоединились американские и европейские организации. В ходе расследования инцидента с момента обнаружения кампании Cl0p Progress Software обнаружила пять дополнительных эксплойтов SQLi.

Cl0p использовал SQL-инъекцию нулевого дня в MOVEit Transfer. Атака на цепочку поставок скомпрометировала более 963 организаций государственного и частного сектора по всему миру, примерно 80% жертв находятся в США. Предполагается, что в ходе этой хакерской кампании были раскрыты личные данные более 58 млн человек, говорится в исследовании компании Resecurity из США. Самыми пострадавшими секторами стали финансы, профессиональные услуги и образование, в совокупности на них приходится более 48% зарегистрированных жертв.

Пока сведений о выплате выкупов не поступало. Однако по статистике 25-30% компаний, жертв вымогателей, соглашаются с требованиями хакеров. Ожидается, что Cl0p получит от 75 до 100 млн долларов выкупа, что делает кампанию самой крупной кибератакой всех времен. Еще больше средств Cl0p может монетизировать, продав данные несговорчивых жертв на «вторичных рынках» даркнета.

Resecurity оценивает кампанию MOVEit, проводимую Cl0p, как значимое событие в сфере торговли программами-вымогателями, которое может повлиять сценарии будущих атак с использованием такого ПО. Кампания Cl0p — яркий пример реализации кибератаки с использованием программ без развертывания специального двоичного файла или криптолокатора программы-вымогателя.

Учитывая огромное количество данных о бизнесе, сотрудниках и клиентах, раскрытых в результате взлома, исследователи в области безопасности полагают, что взлом MOVEit может стать будущим катализатором устойчивой волны мошенничества в сфере деловой электронной почты.

Исследователи призывают компании извлечь уроки из кампании MOVEit, пересмотреть устаревшие корпоративные технологий и улучшить кибербезопасность, проведя оценку состояния своих систем и приняв меры по снижению рисков от программ-вымогателей и атак в цепочке поставок.

Атака, изменившая взгляд на национальную безопасность

Руководители Центра правительственной связи Великобритании (Government Communications Headquarters, GCHQ) отметили 20-летие первой кибератаки и рассказали, как этот инцидент изменил Великобританию и Европу. Реакция GCHQ привела к созданию Национального центра кибербезопасности (NCSC).

Начальник оперативного управления Национального центра кибербезопасности Пол Чичестер отметил, что двадцать лет назад страна только выходила на арену кибератак. И хакерская атака иностранного государства стала первым случаем, когда GCHQ был вовлечен в реагирование на инцидент, затрагивающий правительство Великобритании.

В июне 2003 г. через несколько месяцев после вторжения в Ирак, Великобритания подверглась кибератаке со стороны другой страны. В британской разведке не было подразделений, занимающихся кибератаками или реагированием на инциденты, связанные с национальной безопасностью. Существовала только рабочая группа экспертов по цифровым коммуникациям, базирующаяся в GCHQ. Ее специалисты и были вызваны расследовать инцидент, в ходе которого госслужащий заметил подозрительную активность на рабочей станции.

Эта кибератака изменила отношение к приоритетам безопасности и разведки агентств уровня GCHQ. Угрозы обороне и ключевым секторам инфраструктуры Великобритании могли быть осуществлены в любое время из любой точки земного шара. Это был первый случай, когда агентству радиотехнической разведки пришлось реагировать на кибератаку, осуществленную другим государством.

Расследование выявило фишинговое электронное письмо. Технические специалисты из группы безопасности коммуникаций и электроники (CESG) обнаружили вредоносное ПО на компьютере получателя. ПО было разработано для обхода антивирусов и кражи конфиденциальных данных, что вызвало подозрения о намерениях злоумышленника. Это привело к действиям, которые изменили ход расследований кибератак.

В ходе изучения инцидента GCHQ впервые объединила возможности разведки с функцией кибербезопасности. Анализ, проведенный разведслужбой, позволил CESG сделать вывод, что атака была кибершпионажем со стороны другого государства.

Сегодня новая для 2003 г. атака стала обычным явлением. К 2016 г. CESG превратилась в Национальный центр кибербезопасности, объединив различные госорганы в один, полностью ориентированный на онлайн-угрозы бизнесу и учреждениям.

Закон Парето в действии: австралийские компании реже подвергаются кибератакам, но чаще несут финансовые потери

Американская компания Cloudflare, занимающаяся безопасностью и предоставляющая сетевые услуги, опубликовала исследование, посвященное кибербезопасности в Азиатско-Тихоокеанском регионе. Отчет «Обеспечение будущего: исследование готовности к кибербезопасности в Азиатско-Тихоокеанском регионе» содержит последние данные о готовности организаций справляться с растущим числом киберинцидентов.

Согласно исследованию, в 2022 г. 76% австралийских организаций столкнулись с инцидентами кибербезопасности. Основная масса случаев пришлась на фишинг, веб- и DDoS-атаки, которые были связаны с попытками получения финансовой выгоды, шпионским ПО и программами-вымогателями.

По сравнению с соседями по Азиатско-Тихоокеанскому региону, австралийские компании реже сталкиваются с кибератаками. 80% компании региона, которые столкнулись с инцидентами, сообщили о четырех или более случаях кибератак за последний год, а 50% сталкивались с ними 10 и более раз. При этом только 37% австралийских респондентов сообщили о более чем 10 инцидентах, а 63% респондентов сообщили о менее 10 инцидентах за тот же период.

И хотя в Австралии наблюдается меньше атак, чем у соседей по региону, стоимость инцидентов в области кибербезопасности значительна. 49% респондентов заявили, что за последние 12 месяцев они понесли финансовый ущерб в размере не менее 1,5 млн австр. Долларов (около 1 млн долларов США). 25% небольших организаций Австралии оценивают ущерб как минимум в 3 млн австр. долларов. Учитывая частоту инцидентов кибербезопасности в Австралии, только 43% респондентов указали, что они готовы их предотвратить. Всего 27% респондентов, столкнувшихся с кибератаками, сообщили о них властям.

Основной проблемой при решении вопросов кибербезопасности руководители австралийских организаций называют кадровый голод. Эта проблема серьезнее, чем недостаток финансирования.

Глава местного подразделения Cloudflare Раймонд Майзано отметил, что готовность к отражению атак имеет ключевое значение. Но на практике обнаруживается, что чем меньше сделано, тем лучше. Поэтому для улучшения результатов киберзащиты усилия необходимо направить на оптимизацию архитектуры систем. Эксперт считает, что «все более сложная среда угроз в сочетании с нехваткой специалистов в масштабах всей отрасли требует высокой культуры, которая позволит руководителям и сотрудникам компаний повышать свою осведомленность и комплексно подходить к вопросам кибербезопасности».

Лондонских бобби опознают по фото

Столичная полиция Лондона сообщила в минувшие выходные, что хакеры проникли в ИТ-системы поставщика услуг, что привело к краже конфиденциальной информации о сотрудниках ведомства.

Поставщик хранил на серверах персональную информацию, включающую имена, фотографий, звания, идентификационные номера, сведения о зарплате и итогах проверок сотрудников Лондонской столичной полиции. В перечень не входят сведения о месте жительства или номера телефонов полицейских.

Лондонская столичная полиция, в которой работает более 47 тыс. офицеров и гражданских лиц, совместно с правоохранительными органами и подрядчиком проводит расследование. Поставщик услуг уведомил регуляторов об утечке информации. Название компании-поставщика не раскрывается. Однако, по данным британских СМИ, эта компания заключила контракт с полицией на печать пропусков для персонала и ордерных карточек.

За последние месяцы это второе серьезное нарушение безопасности, которое затрагивает данные сотрудников полиции Великобритании. В июле полицейская служба Северной Ирландии признала, что случайно обнародовала данные 10 тыс. офицеров. Это вызвало опасения по поводу безопасности полицейских, которым периодически угрожают сторонники Ирландской республиканской армии.

Представитель профсоюза лондонской полиции назвал последний инцидент с утечкой информации «ошеломляющим нарушением безопасности, которого никогда не должно было произойти».

Агентства, участвующие в расследовании, включают Национальное агентство по борьбе с преступностью (NCA) изучают, могут ли организованные преступные или террористические группы использовать данные для копирования пропусков сотрудников. Также существует вероятность раскрытия личностей сотрудников полиции, работающих под прикрытием и в других секретных оперативных зонах.

Подробности о характере атаки остаются отрывочными, пишет The Telegraph. Информация об инциденте не раскрывается на хакерских платформах в даркнете. Пока столичная полиция Лондона не смогла определить, когда произошла утечка, было ли это атакой с использованием программ-вымогателей или целевой атакой, направленной на получение информации о сотрудниках полиции Лондона и его окрестностей.

Ранее Национальный центр кибербезопасности Великобритании (NCSC) предупредил организации о необходимости обновления систем после участившихся случаев нападения злоумышленников на объекты с незакрытыми известными уязвимостями.

Джонатон Эллисон, директор NCSC по устойчивости и технологиям будущего, отметил, что хакеры используют все возможности для проникновения в системы, и рекомендует использовать подход «глубокой защиты», т. е. использовать уровни защиты с несколькими мерами смягчения на каждом уровне, что помогает организациям обнаруживать вредоносное ПО на ранней стадии и отключать его до того, как оно сможет причинить вред.