Pod koniec ubiegłego roku w internecie pojawiły się informacje o atakach na firmy, realizowanych dzięki przestarzałym systemom wymiany plików Accellion File Transfer Appliance (FTA). Przestępcy użyli luk w zabezpieczeniach Accellion FTA, aby zdobyć dane poufne, a następnie grozili ich opublikowaniem, jeśli ofiara nie zapłaci okupu. Niestety nie rzucali słów na wiatr.
O jakiej luce w zabezpieczeniach mowa?
Accellion FTA to urządzenie sieciowe, którego firmy używają do szybkiego i łatwego dostarczania dużych plików. To dwudziestoletnie rozwiązanie miało w tym roku przejść na emeryturę, a jego dostawcy od dawna zachęcali do korzystania z bardziej nowoczesnych produktów.
W grudniu 2020 roku wykryto dwie luki w zabezpieczeniach tego rozwiązania — CVE-2021-27101 i CVE-2021-27102 — dzięki którym atakujący zdobyli dostęp do plików przesyłanych na urządzenia FTA. Luki te zostały zamknięte, lecz w styczniu 2021 roku pojawiły się jeszcze dwie inne: CVE-2021-27103 i CVE-2021-27104), które zostały załatane.
Mimo to intruzi zdołali ukraść dane od użytkowników Accellion FTA. Następnie pojawiło się kilka głośnych doniesień prasowych o wyciekach. Nie wszystkie ofiary zgodziły się zapłacić okup, więc atakujący zrealizowali swoje groźby i udostępnili publicznie skradzione dane.
W jaki sposób cyberprzestępcy opublikowali dane
Niedawno wykryliśmy masowo wysyłane wiadomości e-mail, których celem było skompromitowanie reputacji ofiar w oczach pracowników, klientów i partnerów, jak również konkurencji. Zakres takich wiadomości ani źródła tych adresów nie są znane, jednak wygląda na to, że cyberprzestępcy próbowali dotrzeć do tak wielu osób, jak to tylko możliwe.
Nadawca wiadomości nalegał w niej, aby odbiorca użył przeglądarki Tor i odwiedził stronę w domenie .onion. Strona ta miała mieć dziesiątki tysięcy odsłon dziennie. Wśród rzekomych odwiedzających mieli być wszelkiego rodzaju hakerzy i dziennikarze, którzy mogli doprowadzić do jeszcze większej szkody na reputacji firmy i w jej infrastrukturze. Co ciekawe, strona należy do ugrupowania CL0P, które specjalizuje się w ransomware, a jednak w atakach realizowanych przy użyciu luk w Accellion FTA pliki nie były szyfrowane. Wydaje się, że hakerzy skorzystali z tej wygodnej platformy.
Oczywiście celem takiego działania jest zastraszanie innych ofiar. Nawiasem mówiąc, zarówno wiadomość e-mail, jak i strona internetowa zawierają szczegółowe informacje umożliwiające kontakt z atakującymi, gdyby ktoś chciał, aby opublikowane już pliki zostały usunięte (chociaż po fakcie taka prośba nie ma raczej sensu).
Warto również zauważyć, że na stronie znajduje się oferta reklamowa lekcji dla administratorów, których przedmiotem jest sposób na zamknięcie luk, przez które skradziono dane — koszt takiej edukacji wynosi 250 tys. dolarów, płatne w bitcoinach.
Wątpimy, aby ktokolwiek chciał z nich skorzystać. Dostawcy feralnego narzędzia udostępnili już jego zaktualizowane wersje, a skorzystanie z takiej pomocy jest równoznaczne z przyznaniem się, że nie potrafimy wyeliminować tej luki, a więc można ją wykorzystać.
Jak ochronić swoją firmę przed takimi atakami
Po pierwsze, zaktualizuj Accellion FTA — a jeszcze lepiej przestań używać tego rozwiązania (radzą to nawet jego dostawcy).
Po drugie, zaktualizuj wszystkie programy i usługi, które łączą się z internetem. Ważne jest, aby nie zwlekać z tymi działaniami, a także aby dbać o ciągłość aktualizacji.
Ponadto należy zabezpieczyć każde urządzenie — zarówno stacje robocze, jak i serwery, sprzęt i wszelkiego rodzaju programy. Warto postawić na najnowszy produkt zabezpieczający, który potrafi wykrywać próby wykorzystania luk w zabezpieczeniach, również te nieznane.
Osoby, które padły ofiarą szantażystów, nie powinny płacić okupu. Zagadnienie to wyjaśnia w swoim najnowszym poście Jewgienij Kasperski.