Компания NortonLifeLock, известная по всему миру своим антивирусным программным обеспечением Norton Antivirus, стала жертвой хакерской группы Clop, специализирующейся на вымогательстве. Преступники разместили информацию о компрометации на своей странице в темной сети и угрожают опубликовать украденные данные, если компания не заплатит выкуп.
По всей видимости, хакеры использовали уязвимость в облачном MFT-решении для передачи файлов MOVEit Transfer от Progress Software. Эта уязвимость позволила цифровым бандитам подобрать пароли к базе данных SQL с помощью брутфорса. После успешного взлома киберпреступники получили полный доступ к веб-репозиторию и смогли загружать и управлять конфиденциальными файлами множества компаний. Несмотря на то, что уязвимость была исправлена в скором времени после её обнаружения, это не помогло предотвратить атаку.
Компания NortonLifeLock оказалась в числе более 80 компаний, которые были заявлены как жертвы Clop на их сайте утечки в даркнете. Однако наверняка пока неизвестно, какая именно из нескольких обнаруженных уязвимостей MOVEit Transfer была использована, и причастна ли к утечке MFT-платформа вообще.
В записи на сайте Clop ничего не сказано о переговорах с компанией Norton. Обычно, если компания отказывается платить выкуп, хакеры сообщают об этом и публикуют похищенные данные. Однако в случае с Norton такого не произошло -запись говорит только о факте компрометации данных компании. Переговоры обычно занимают до нескольких недель – особенно если компания готова заплатить, но хочет обсудить сумму выкупа.
Для любой компании, занимающейся кибербезопасностью, подобная ситуация является большим ударом по репутации. Даже если Norton вообще не виновата в утечке, а вся ответственность лежит исключительно на MOVEit, это всё равно подрывает доверие к компании.
Пока неизвестно, как именно NortonLifeLock была скомпрометирована и сколько данных потеряно. И хотя Norton не несёт полной ответственности за эту атаку, представители компании могли бы предложить своим пользователям ряд профилактических мер, которые минимизируют шансы злонамеренной эксплуатации данных.
Возможно, лучшим методом для противодействия 0-day уязвимостям является использование решения для безопасности с нулевым доверием (Zero Trust). Конечно, и у таких решений есть свои недостатки, такие как высокое потребление ресурсов и большие задержки при доступе, однако их эффективность очень высока. При правильной настройке они не позволят никакой программе выполнить действие без тщательной проверки, и это вполне могло бы остановить хакеров Clop в момент эксплуатации уязвимости MOVEit.