Почему специализирующаяся на кибербезопасности компания не смогла защитить свои данные?
Компания NortonLifeLock, известная по всему миру своим антивирусным программным обеспечением Norton Antivirus, стала жертвой хакерской группы Clop, специализирующейся на вымогательстве. Преступники разместили информацию о компрометации на своей странице в тёмной сети и угрожают опубликовать украденные данные, если компания не заплатит выкуп.
По всей видимости, хакеры использовали уязвимость в облачном MFT-решении для передачи файлов MOVEit Transfer от Progress Software. Эта уязвимость позволила цифровым бандитам подобрать пароли к базе данных SQL с помощью брутфорса. После успешного взлома киберпреступники получили полный доступ к веб-репозиторию и смогли загружать и управлять конфиденциальными файлами множества компаний. Несмотря на то, что уязвимость была исправлена в скором времени после её обнаружения, это не помогло предотвратить атаку.
Компания NortonLifeLock оказалась в числе более 80 компаний, которые были заявлены как жертвы Clop на их сайте утечки в даркнете. Однако наверняка пока неизвестно, какая именно из нескольких обнаруженных уязвимостей MOVEit Transfer была использована, и причастна ли к утечке MFT-платформа вообще.
В записи на сайте Clop ничего не сказано о переговорах с компанией Norton. Обычно, если компания отказывается платить выкуп, хакеры сообщают об этом и публикуют похищенные данные. Однако в случае с Norton такого не произошло — запись говорит только о факте компрометации данных компании. Переговоры обычно занимают до нескольких недель, особенно если компания готова заплатить, но хочет обсудить сумму выкупа.
Для любой компании, занимающейся кибербезопасностью, подобная ситуация является большим ударом по репутации. Даже если Norton вообще не виновата в утечке, а вся ответственность лежит исключительно на MOVEit, это всё равно подрывает доверие к компании.
Пока неизвестно, как именно NortonLifeLock была скомпрометирована и сколько данных потеряно. И хотя Norton не несёт полной ответственности за эту атаку, представители компании могли бы предложить своим пользователям ряд профилактических мер, которые минимизируют шансы злонамеренной эксплуатации данных.
Возможно, лучшим методом для противодействия 0-day уязвимостям является использование решения для безопасности с нулевым доверием (Zero Trust). Конечно, и у таких решений есть свои недостатки, такие как высокое потребление ресурсов и большие задержки при доступе, однако их эффективность очень высока. При правильной настройке они не позволят никакой программе выполнить действие без тщательной проверки, и это вполне могло бы остановить хакеров Clop в момент эксплуатации уязвимости MOVEit.
Одно найти легче, чем другое. Спойлер: это не темная материя