Главная Блог CEO Самая массовая утечка данных 2023
Блог CEO Блог CEO

Самая массовая утечка данных 2023

Автор: Андрей Михалюк, CEO CoreWin

Недавно мы опубликовали список резонансных кейсов утечки данных в 2023. Но один из них является особенным и ярко выделяется на фоне других. Не только в 2023 году, но, вероятно, и в целом в истории информационной безопасности. Конечно, я имею в виду уязвимость MOVEit и связанные с ней утечки данных. В чем же ее уникальность? Чтобы это понять, обратимся к истории утечек, вызванных этой уязвимостью:

  • 1 июня. Обнаружение уязвимости, утечка данных клиентов MOVEit, таких как: Zellis, British Airways и BBC.
  • 20 июля. Утечка данных PockerStars, коснувшаяся персональной информации 110 000 клиентов.
  • 27 июля. Утечка данных Maximus (гос. подрядчик США), затронувшая до 11 миллионов граждан США.
  • 8 августа. Кража данных пациентов Missouri Medicaid.
  • 11 августа. Кража данных 4.1 миллиона пациентов из систем IBM.
  • 25 сентября. Утечка данных 3.4 миллиона человек из реестра рождений Онтарио.

И это только самые нашумевшие кейсы. Среди других организаций, которые столкнулись с утечкой данных из-за вышеупомянутой уязвимости, стоит упомянуть IT-компанию Norton LifeLock, которая специализируется на безопасности личных данных (иронично, как по мне).

Как видим, эта уязвимость проявила себя не один раз. Количество и масштаб инцидентов росли вплоть до октября, то есть почти полгода, и в сумме привели к утечке более 18.6 млн записей. Попробуем разобраться, почему тривиальная, на первый взгляд, уязвимость оказалась столь «живучей» и доставляла хлопоты кибербезопасности столько времени.

Сначала база. Что такое MOVEit?

MOVEit – это программный продукт для управляемой передачи файлов, созданный компанией Ipswitch, Inc. (теперь является частью Progress Software). Он шифрует файлы и для передачи данных использует протоколы передачи файлов, такие как FTP(S) или SFTP, а также предоставляет услуги автоматизации, аналитику и параметры восстановления после отказа. Простыми словами – это корпоративная файловая шара, которая может быть развернута как в облаке, так и локально. Именно локальное развертывание позволило системе завоевать сильные позиции в сфере медицинского обслуживания, где действует жесткое регулирование безопасности данных пациентов.

Шаг 2. Что за уязвимость?

Если коротко – SQL-инъекция. Да-да, именно этот самый известный у нас тип уязвимостей. Известен еще с далекого 1998, вроде как хорошо известен всем, и все же, хотя синтаксис SQL не меняется десятилетиями, такие уязвимости все возвращаются в нашу жизнь.

Детали атаки описаны тут. А мы чуть позже пройдемся, как защититься от уязвимости, но самое главное, что нужно сделать, если вы используете это решение – установить обновление. Как говорится – ВПП (всегда применяй патч).

Теперь коротко о том, что делать, если у вас уже стоит MOVEit, и вы им пользуетесь.

Можно поставить на сервер, где стоит решение Wazuh или другой vulnerability management. Коротко модуль Wazuh описан тут. Это сработает, поскольку уязвимость уже известна, присутствует в базах CVE, и соответственно агент найдет ее (как и другие уязвимости) автоматически. Их останется только исправить.

Касательно исправления этой уязвимости

Для начала, чтобы защитить свою компанию от атаки MOVEit, вы должны следовать советам безопасности от Progress Software, поставщика службы MOVEit Transfer. А именно:

  • Как можно скорее загрузите обновление.
  • Добавьте в белый список трафик на портах 80 и 443 к серверу MOVEit Transfer, чтобы предотвратить внешний доступ к веб-интерфейсу пользователя.

  • Проверьте папку C:\MOVEit Transfer\wwwroot\ на наличие подозрительных файлов, таких как резервные копии или загрузка больших файлов.

  • Включите журналирование и аудит на сервере MOVEit Transfer и отслеживайте любую необычную активность (здесь поможет подключение SIEM Wazuh, хотя для этого нужно будет добавить декодер и правило).

  • Используйте брандмауэр или другие инструменты безопасности, чтобы заблокировать доступ к известным вредоносным доменам или IP-адресам, связанным с атакой.

Проверьте наличие индикаторов компрометации (IoC), которые могут свидетельствовать о том, что ваша компания пострадала от атаки. Некоторые из IoC, связанные с атакой MOVEit, включают:

  • Сценарии, загруженные в папку C:\MOVEit Transfer\wwwroot\, такие как backup.aspx, backup.aspx.cs, backup.aspx.designer.cs, backup.aspx.resx, download.aspx, download .aspx.cs, download.aspx.designer.cs, download.aspx.resx.
  • IP-адреса команды и управления (C2), взаимодействующие с веб-оболочками, например 185.141.25[.]27, 185.141.25[.]58 и 185.141.26[.]98.

  • Учетные данные пользователей, созданные или удаленные на сервере MOVEit Transfer, например admin.

  • Инструкции SQL или ошибки в журналах MOVEit.

  • Необычная деятельность или трафик на портах 80 и 443 к серверу MOVEit Transfer.

Также следует регулярно создавать резервные копии данных, держать бекапы на отличном от сервера MOVEit сервере, обновлять все программное обеспечение и операционные системы, вводить политику надежных паролей и проводить обучение сотрудников о фишинговых атаках.

Cтоит отметить, что Progerss очень профессионально отреагировали на уязвимость, быстро закрыв ее, но на этом не остановились и закрыли ряд других связанных уязвимостей, которые не успели обнаружить хакеры.

Про организаторов кибератак

Теперь шаг 3. За первой атакой стояли российские хакеры CLOP group (далее по тексту: «ЙР»). На момент атаки эта уязвимость была zero-day, то есть не известна общественности, а значит, у сообщества кибербезопасности было 0 дней на ее исправление. Но, как пишут многие специалисты, ЙР знала об этой уязвимости достаточно долго, войдя на бэкенд облачной версии системы, получив к ней доступ, а дальше вирусом-шифровальщиком зашифровав данные и выкачав базы себе. Далее последовал ряд торгов, где ЙР требовала деньги от компаний за восстановление и непубликацию утраченных данных. Кто-то договорился, кто-то отправил ЙР по всему известному адресу. В целом схема типична для руснявых вирусов-шифровальщиков.

Вроде все. Да? Но остался один вопрос. Почему на этом все не закончилось? А дело в том, что, как я писал выше, многие организации ставят сервер MOVEit локально для безопасного обмена данными со своими клиентами. И вот здесь становится интересно. Оказывается, не все подрядчики вовремя обновили свои системы, оставили их уязвимыми, и к моменту, когда эта уязвимость стала известна всему миру (пример – PoC уязвимости немного выше) – они оказались уязвимыми. Чем и воспользовались все кому не лень, сама же ЙР не отставала и увеличила количество целей, распространяя базы данных через торренты. На данный момент уже известно, что более 100 организаций пострадали от этой атаки. Либо напрямую, либо через подрядчиков. В том числе гос. организаций в США. Из-за всего этого было объявлено вознаграждение в размере 10 млн USD за информацию о ЙР.

То есть здесь особенностью стало то, что эта система использовалась для активного обмена данными подрядчиков с клиентами. Как видим, тренд Supply Chain Attack остается мейнстримным в той или иной форме. Пока вопрос как бороться с таким типом рисков остается открытым, но первые наработки в этой сфере уже есть. К примеру, наша команда в коллаборации с ResilientX запустила открытый бесплатный ранний доступ к системе, которая как раз создана для борьбы с Supply Chain Attacks методом проверки уязвимости публичных IT-активов подрядчиков компании.

Другие материалы по теме

The AI Control Problem

Использование ИИ для написания кода в Amazon: проблема контроля в индустрии

16.03.2026
Vishing

Атаки вишинга на основе ИИ: анализ новой угрозы

10.03.2026
Kateryna Ivanenko

Форум BIT-2026 в Тбилиси

03.03.2026

Подписаться на новости

    Оставьте свои контакты, и мы с вами свяжемся