Osiemnaście miesięcy po poważnym incydencie cybernetycznym, w którym znalazły się setki organizacji ofiarą gangu ransomware która wykorzystała lukę w zabezpieczeniach polegającą na wstrzykiwaniu SQL typu zero-day w produkcie do przesyłania plików MOVEit Transfer firmy Progress Software, wyszło na jaw wiele nowych ofiar, w tym gigant technologiczny Amazon, który potwierdził, iż wyciekły dane dotyczące ponad dwóch milionów jego pracowników.
CVE-2023-34362 to krytyczna luka w zabezpieczeniach typu zero-day polegająca na wstrzykiwaniu kodu SQL w narzędziu MOVEit Transfer, który został załatany pod koniec maja 2023 rale niestety dopiero wtedy, gdy ransomware Cl0p/Clop mógł go wykorzystać do zorganizowania masowego włamania do organizacji na całym świecie.
Wśród ofiar w Wielkiej Brytanii znalazły się BBC, Boots i British Airways – wszystkie zostały naruszone za pośrednictwem specjalisty IT ds. płac i kadr Zellis.
W tym tygodniu naukowcy z Hudson Rock opublikował szczegóły poważnego wycieku danych atakujący co najmniej 25 organizacji, zaaranżowany przez aktora używającego pseudonimu Nam3L3ss, który umieścił je na podziemnym forum cyberprzestępczym w formacie CSV.
Według Alana Gala z Hudson Rock dane obejmują dane pracowników największych firm, w tym HP, HSBC, Lenovo, Omnicom, Urban Outfitters, British Telecom i McDonalds, ale z pewnym marginesem największa transza danych – łącznie ponad 2,8 miliona rekordów – pochodzi z Amazonu.
Gal powiedział, iż zbiór danych zawierał informacje kontaktowe oraz dane dotyczące ról organizacyjnych i zadań działów w Amazon, co może narazić pracowników na ryzyko inżynierii społecznej i dostosowanych ataków phishingowych.
„Badaczom z Hudson Rock udało się zweryfikować autentyczność danych, porównując e-maile pochodzące z wycieków z profilami pracowników na Linkedin oraz z e-mailami znalezionymi w wyniku infekcji związanych ze kradzieżą informacji, w które zaangażowani byli pracownicy dotkniętych firm” – napisał Gal.
W oświadczeniu rozesłanym do mediów starszy menedżer ds. PR Amazona, Adam Montgomery, potwierdził prawdziwość naruszenia.
„Zostaliśmy powiadomieni o zdarzeniu związanym z bezpieczeństwem u jednego z naszych dostawców usług zarządzania nieruchomościami, które dotknęło kilku jego klientów, w tym Amazon. Jedyne informacje Amazona, których dotyczyła sprawa, to służbowe dane kontaktowe pracowników, na przykład służbowe adresy e-mail, numery telefonów stacjonarnych i lokalizacje budynków” – powiedział Montgomery.
„Systemy Amazon i AWS pozostają bezpieczne i nie doświadczyliśmy żadnego zdarzenia związanego z bezpieczeństwem” – powiedział.
Amazon nie podał nazwy organizacji, za pośrednictwem której został dotknięty.
Link do Cl0p?
Na zrzutach ekranu postów opublikowanych przez Nam3Less, udostępnionych Computer Weekly przez badaczy pod adresem Cyberprzeszukiwaczaktor twierdził, iż nie jest hakerem ani nie jest powiązany z żadną grupą zajmującą się oprogramowaniem ransomware. Powiedzieli również, iż nie kupują ani nie sprzedają danych, a raczej monitorują ciemną sieć i inne narażone usługi, w tym AWS Buckets, Azure Blobs, serwery MongoDB i tym podobne.
„Jeśli firma lub agencja rządowa jest na tyle głupia, aby nie szyfrować swoich danych podczas transferu, lub jeżeli administrator jest zbyt głupi lub zbyt leniwy, aby zabezpieczyć hasłem swoją pamięć online, która się na nim znajduje” – stwierdził Nam3L3ss. „Świat powinien dokładnie wiedzieć, co wyciekają te firmy i agencje rządowe”.
Nie jest jasne i nie zostało jeszcze potwierdzone, czy Nam3L3ss ma jakiekolwiek powiązania z gangiem ransomware Cl0p. Wbrew własnym twierdzeniom, oświadczenia ugrupowań zagrażających należy zawsze traktować sceptycznie. Nam3L3ss może z łatwością być członkiem lub współpracownikiem gangu, ale równie możliwe jest, iż zdobył dane w inny sposób.
„Aktor Nam3L3ss twierdzi, iż nie jest hakerem i udostępnia jedynie dane, które pobrał z innych źródeł. Jak wynika z oświadczenia, które udostępnili na BreachForums we wtorek 12 listopada 2024 r., twierdzą, iż ich motywacją nie jest zysk finansowy, ale chęć pociągnięcia rządów i korporacji do odpowiedzialności za ochronę danych obywateli” – powiedział analityk ds. wywiadu w zakresie zagrożeń Searchlight Vlad Mironescu.
„Jednym ze źródeł danych, z którego często korzysta aktor, są informacje opublikowane na stronach zawierających wycieki systemu ransomware. Na przykład wiele danych udostępnianych przez Nam3L3ss, w tym to Amazonka dane, wydają się pochodzić od ofiar ataków MOVEit z zeszłego roku, zorganizowanych przez grupę ransomware Cl0p. Wygląda na to, iż Nam3L3ss nie jest powiązany z Cl0p ani żadną grupą systemu ransomware, ale po prostu udostępnia znalezione dane.”
Mironescu mówił dalej: „To prawda, iż aktor nie sprzedaje tych danych, publikuje je za darmo lub w zamian za kredyty na forum. Nie oznacza to jednak, iż nie doszło do żadnych szkód; bezpłatne opublikowanie danych na BreachForums sprawi, iż trafią one w ręce dużej liczby hakerów, którzy będą mogli je wykorzystać do najróżniejszych niegodziwych celów”.
Ciemna sieć
Kevin Robertson, dyrektor operacyjny w Przenikliwy Cyberpowiedział: „Ten wyciek pokazuje, jak dane przedostają się przez ciemną sieć, często pojawiając się ponownie w wiadomościach długo po tym, jak miały miejsce naruszenia, i często wpadając w ręce innych atakujących.
„W zeszłym roku naruszenie MOVEit zdominowało pierwsze strony gazet, po tym jak wpłynęło na tysiące organizacji i dane miliardów ludzi. Był to jeden z pierwszych przykładów globalnego ataku na łańcuch dostaw, który stał się tak duży, iż choćby jego sprawcy, Cl0p, mieli trudności z przechwyceniem ilości zainfekowanych danych.
„W tym roku atak nie odbił się tak szerokim echem w mediach, jak w zeszłym roku, ale najnowsza aktualizacja pokazuje, iż napastnicy w dalszym ciągu zarabiają na danych. Nie uważa się, iż Nam3L3ss brał udział w pierwotnym ataku MOVEit, ale niektóre z jego danych trafiły w ich ręce, co stanowi dowód na to, w jaki sposób skradzione dane są sprzedawane w ciemnej sieci” – powiedział.