У середу 7 червня група хакерів, що називає себе “Клоп” опублікували на своєму вебсайті в даркнеті заяву, що вони викрали персональні дані працівників британської авіалінії British Airlines, національного мовника BBC та компанії з роздрібної торгівлі Boots. Викрадені дані тисяч працівників, що включають банківські дані, номери соціального страхування, мобільні телефони, тощо.
Втім, British Airways, BBC та Boots не єдині жертви кібератаки – Клоп заявляють, що взламали дані сотень компаній та організації.
Пізніше Агентство кібербезпеки та безпеки інфраструктури США заявили про витік даних мільйонів американців з баз даних на федеральному та місцевому рівнях. Так серед постраждалих – Міністерство енергетики США, влада штатів Іллінойз та Орегон, міжнародна консалтингова компанія Аон, видання The Boston Globe, університет Джона Гопкінса, нафтова компанія Shell та ще близько 50 приватних компаній.
Вірогідно, що пізніше стане відомо ще більше компаній та організацій, постраждалих від атаки Клопів, адже під час попередньої атаки хакери протягом двух тижднів розкривали своїх жертв.
Класична стратегія хакерської атаки – це поширення шкідливого ПЗ або інші тактики для того, щоб заблокувати доступ до девайсів/систем/програм тощо, якими користується жертвами. Клопи ж діють інакше: зловмисники скористалися вразливостями програмного забезпечення для внутрішнього обміну файлів MOVEit та непомітно викрали дані організацій.
Так, наприклад, для британських організацій “слабкою ланкою” виявилася британська аутсорс-компанія Zellis, з якої співпрацювали організації-жертви – взламавши систему компанії хакери отримали доступ до 8 їхніх британських великих клієнтів, серед яких і були BBC та British Airlines.
Потім хакери повідомляють на своєму сайті, що викрали дані своїх жертв та пропонують їм вступити в переговори та викупити свої дані. Так джерела видання CNN зазначають, що принаймні в однієї з компаній хакери вимагають викуп розміром 100 мільйонів доларів. Втім, хакери заявили, що представники держави, місцевої влади чи правоохоронних органів можуть не хвилюватися – вони видалять їхні викрадені дані без викупу.
Найбільш вірогідно, що члени хакерської групи Клоп – росіяни або вихідці з інших країн, де домінує російська мова. Так деякі елементи їхнього коду та метадані зазначені російською мовою, здебільшого вони припиняють працювати під час релігійних свят за календарем РПЦ та здебільшого не атакують російськомовні країни.
Також експерти з кібербезпеки відзначають нетипово високий рівень організації та підготовки хакерської групи: вочевидь, хакери довго готувалися перед своєю кібер-операцією, а під час розслідування зафіксували сліди тестових втручань в системи своїх жертв та знали, де та як саме зберігаються дані організацій, перед тим як здійснювати атаку.
Це вже третя атака на рахунку Клопів. За приблизними оцінками, попередні атаки принесли зловмисникам мільйони доларів, а дані тих жертв, які відмовилися платити – серед яких канадська авіа- та машинобудівна компанія Bombardier та Стенфордський університет – і досі знаходяться у відкритому доступі на просторах даркнету.
Британські та американські правоохоронці закликають постраждалих не погоджуватися на умови вимагачів. Інша проблема – за такого стилю роботи хакерів навіть якщо постраждалі заплатять, вони мусять повірити хакерам на слово, що їхні дані дійсно видалені, адже перевірити це ніяк неможливо. Наразі розслідування атаки триває, а повний список постраждалих організацій невідомий.