Калифорнийский университет в Лос-Анджелесе заявляет, что это последняя жертва кибератаки, но представители университета не уточнили, к какой информации был получен доступ и была ли какая-либо информация размещена в Интернете.
Инцидент знаменует собой последнюю атаку, которая затронула десятки организаций и предприятий, включая Министерство здравоохранения и социальных служб США; многонациональная юридическая фирма Kirkland & Ellis; штаты Орегон, Миссури и Иллинойс; Пенсионная система государственных служащих штата Калифорния; Департамент образования Нью-Йорка; французская многонациональная компания Schneider Electric; и правительство Новой Шотландии, согласно списку, опубликованному в Интернете группой вымогателей.
По словам представителей UCLA, 28 мая Калифорнийский университет в Лос-Анджелесе узнал о взломе в системе, которую университет использует для передачи файлов через кампус и другим организациям. Университет внедрил свою процедуру реагирования на инциденты и закрыл лазейку, использованную хакерами, с помощью обновления от Progress Software, создателя программного продукта для передачи файлов под названием MOVEit.
«Университет уведомил ФБР и работал с внешними экспертами по кибербезопасности, чтобы расследовать этот вопрос и определить, что произошло, какие данные были затронуты и кому они принадлежат. Те, кто пострадал, были уведомлены», — сказал представитель Калифорнийского университета в Лос-Анджелесе. «Это не инцидент с программой-вымогателем. Нет никаких доказательств какого-либо воздействия на какие-либо другие системы кампуса».
Калифорнийский университет в Лос-Анджелесе отказался предоставить дополнительную информацию об атаке или подозреваемых виновниках, но, по словам экспертов по технологиям, отслеживающих кибератаку, банда CL0P Ransomware Gang украла информацию примерно у 16 миллионов пользователей.
По данным Агентства кибербезопасности и безопасности инфраструктуры (CISA) при Министерстве внутренней безопасности, группа воспользовалась уязвимостью в инструменте MOVEit Transfer.
CL0P, также известный как TA505, получил данные с помощью вредоносного ПО, которое дает группе доступ к пользовательским базам данных. Progress Software работает с Министерством внутренней безопасности и ФБР над противодействием атакам, сказал Эрик Гольдштейн, исполнительный директор CISA.
«CISA продолжает усердно работать, чтобы уведомить уязвимые организации, призвать к быстрому устранению и предложить техническую поддержку, где это применимо», — сказал Гольдштейн.
Аналитик по угрозам Бретт Кэллоу из компании Emsisoft, занимающейся кибербезопасностью, сказал, что известно 148 жертв кибератак CL0P, а 11 организаций сообщили, сколько людей пострадало от взлома. Кэллоу написал в сообщение в Твиттере что данные 16,2 миллиона человек были скомпрометированы.
«Это число значительно увеличится, если/когда другие 137 с лишним жертв раскроют информацию», — сказал Кэллоу.
«Жертвы этого инцидента представляют несколько организаций государственного и частного секторов из различных [of] секторов, поэтому скомпрометированная информация не будет одинаковой для каждой жертвы», — сказал Кэллоу в электронном письме. «Однако мы знаем, что некоторые данные включали имена, адреса и номера социального страхования».
Он добавил, что атаки CL0P были самыми значительными взломами за последние годы и что жертвы не раскрыли, что хакерская группа потребовала в обмен на удаление украденных данных.
В апреле 2021 года Калифорнийский университет в Лос-Анджелесе стал жертвой кибератаки, в результате которой в Интернете потребовали выкуп и опубликовали некоторую личную информацию. Другие школы, в том числе Медицинский факультет Стэнфордского университета и Университет ешива в Нью-Йорке, сообщили, что номера социального страхования и финансовая информация студентов и сотрудников были украдены, а некоторые из них были размещены в Интернете во время этой атаки.