Рансъмуер групировката Cl0p, свързвана от експерти с руски киберпрестъпни структури, добави нов пакет от високопрофилни цели към своя „dark web“ сайт за изнудване. Сред тях се открояват британската здравна система NHS, автомобилните производители Mazda и Mazda USA, както и технологичният гигант Canon.

Тези организации се появиха едновременно в публичния списък на Cl0p – практика, която групировката използва, за да упражни натиск върху жертвите и да ги подтикне към плащане на откуп.

NHS потвърждава разследване; първични данни сочат изтичане на чувствителна медицинска информация

Британската Национална здравна служба (NHS) реагира на публикацията, заявявайки, че е напълно наясно с твърденията и работи с Националния център за киберсигурност за оценка и потвърждаване на данните.

Анализ на първите проби от изтекла информация показва:

• списъци с пациенти

• лични идентификационни данни (PII)

• медицински диагнози

• данни за здравно осигуряване и категории за покритие

Ключов акцент: дори малка част от изтеклия обем съдържа информация, която може да бъде използвана за кражба на идентичност, социално инженерство, финансови измами и медицински злоупотреби.

Експертите подчертават, че комбинацията от медицински записи и адресна информация може да разкрие социално-икономически статус на пациентите, което прави пробива особено рисков.

Canon и Mazda – вероятно все още под пряк изнудвачески натиск

За разлика от NHS, за Canon, Mazda и Mazda USA все още не са публикувани проби от откраднатите данни. Това често означава, че групировката е в активна фаза на преговори и използва включването на имената като тактика за натиск.

Как е осъществен пробивът? Вероятна е уязвимост в Oracle E-Business Suite

Макар Cl0p да не е споделила технически подробности за конкретните атаки, анализаторите считат за най-вероятен вектор експлоатирането на критична zero-day уязвимост в Oracle E-Business Suite (EBS).

Причините:

• Cl0p активно експлоатира този бъг от лятото

• Oracle беше принудена да пусне две спешни актуализации (2 октомври и 11 октомври), след като първият „кърпеж“ се оказа неефективен

• десетки организации откриха пробива месеци по-късно, някои едва след получаване на рансъмуер имейл

Сред засегнатите от този масов експлойт вече са:

• Harvard University

• Envoy Air – най-големият регионален превозвач на American Airlines

• Chicago Public Schools

Cl0p продължава линията си на масови глобални кампании

Групировката е известна с експлойти, засегнали хиляди организации в последните години, включително:

• MOVEit Transfer

• Fortra GoAnywhere

• Cleo

Атаката срещу MOVEit през 2023 г. беше една от най-мащабните досега – близо 90 милиона засегнати лица и щети за милиарди долари.

Извод: Cl0p използва комбинация от zero-day експлойти и агресивно изнудване

Текущата кампания показва:

• перфектна синхронизация между експлойт на корпоративни системи и изнудване

• умело таргетиране на критични сектори, включително здравеопазване

• огромни рискове за личните данни, когато става дума за медицинска информация, която не може да бъде „сменена“ като парола

Cl0p затвърждава позицията си като една от най-активните и успешни рансъмуер групировки в световен мащаб.