Moveit hack: attack on BBC and BA offers glimpse into the future of cybercrime

19.06.2023 16:44

Shutterstock

British Airways (BA), the BBC, Ofcom and Boots were among a number of organisations that were reportedly victims of a major recent cyber-attack, resulting in the breach of numerous staff details.

The stolen data is said to include staff names, staff ID numbers and national insurance numbers (although, importantly, not banking details). But, other than for those personally affected, the real issue is what this attack reveals about the evolution of cybercrime.

More cybercriminals are realising that if they can compromise a trusted supplier, this will lead to the compromise of that organisation’s customers. The hackers can then steal the data and potentially hold both individuals and companies to ransom.

So far, this has proven a more difficult way to make a lot of money. But it’s arguably only a matter of time.

The recent attack was against a piece of software called Moveit, which is used to transfer computer files from one location to another. It involved what’s called a “zero-day exploit”, a piece of computer code that takes advantage of a previously unknown vulnerability.

This allowed hackers to compromise Zellis, a trusted supplier of services to BA, the BBC, Boots and others. Zellis confirmed a “small number” of customers had been affected, adding that it had disconnected the server using Moveit as soon as it became aware of the incident.

Since Zellis is the main payroll service provider to these organisations, it is easy to trace how this incident started. Responsibility for the attack was claimed by the Russia-linked “cl0p” group, which has since issued an ultimatum to the affected organisations – asking for money unless they want the stolen data to be released on the dark web.

Future of cybercrime

Unlike many previous types of attack, particularly those that have employed ransomware, in this case the criminal group launched a mass attack and waited for individual organisations to fall prey, then sought to exploit each one in turn.

This suggests these cybercriminals have learned from previous supply-chain attacks, and are experimenting with making the strategy commercially viable. In supply-chain attacks, cybercriminals target one organisation by attacking an external provider they use.

The BBC was among the organisations successfully hacked. Nigel J. Harris / Shutterstock

Groups such as cl0p appear to have watched and learned, especially from the SolarWinds attack of late 2020, where the system for “patching” – doing quick repairs of – a near-ubiquitous software tool was compromised.

This software was widely used across the US government and industry, leading to tens of thousands of SolarWinds clients falling victim, including the Department of Defense, Nasa, TimeWarner and AT&T. Attributed to Russia’s military intelligence agency the GRU, SolarWinds was seen as being mainly motivated by state espionage.

And in the case of Moveit, the cl0p group appears to have taken the logic of supply-chain attacks – which proved so effective against SolarWinds – and wielded it against corporate targets.

Evolutionary step

This was arguably always going to be an evolutionary step for cybercriminals. First, sophisticated state-sponsored hackers verify an innovative method of attacking computers, as in the case of SolarWinds. Later, criminal copycats such as cl0p apply the same strategy, avoiding the pain of inventing new methods.

The ultimatum issued by cl0p is also revealing about the behaviour and motivation of cybercriminals. It is a strange pivot from traditional ransomware campaigns, where the victims’ payment details were stolen.

In the case of Moveit, it is instructive that cl0p has issued a public ultimatum, telling victim organisations to get in touch unless they want their data to be released into the wild – allowing its exploitation by scammers, fraudsters and other criminals.

The organisations involved, including BA, were using Zellis for payroll services. Jarek Kilian / Shutterstock

Effectively, cl0p is relying on a panic tactic to get organisations to take responsibility for the stolen data and protect their staff’s identities, by volunteering themselves to the criminals for negotiation – presumably on the topic of payment.

This reveals a clear lack of resource – outside the technical “attack teams” – on the part of cl0p to fully exploit its apparent success in compromising Moveit.

This is a potential flaw in the behaviour of such criminal groups. It shows that a move from ransomware-driven campaigns to supply-chain attacks is more difficult to monetise.

The final step in maximising the return from the attack, by making all the victims pay, is clearly harder than with simple ransomware, where the focus is on one target organisation and one route to the pay-out from the crime.

In short, cybercriminal groups have copied the supply-chain attack strategy and are now experimenting with it. But they are struggling to fully exploit and monetise the successes they have with it.

Where ransomware has been the campaign of choice for more than half a decade, we should, however, be concerned that the Moveit attack signals a change of strategy. Supply-chain attacks are effective, and the criminals are now working to refine their methods in order to fully exploit them. As such, it’s very likely that these attacks will only become more widespread.

The authors do not work for, consult, own shares in or receive funding from any company or organisation that would benefit from this article, and have disclosed no relevant affiliations beyond their academic appointment.

Партнёры Smi24.net

Все новости за 24 часа

Life24.pro

Город Бакуракерт на полуострове Ланжерон

В каких случаях стоит вызывать врача‑терапевта на дом?

В Корпоративном университете «ЛокоТех» за первое полугодие 2025 года обучено более 2500 человек и создано 8 новых программ

Marins Park Hotel Новосибирск – место, где сбываются мечты!

Today24.pro

Nvidia’s Jensen Huang hauled before China’s cyber cops to explain ‘backdoor safety risks’ in H20 chips

The Federal Reserve’s power: Congress giveth and Congress can taketh away

The surprising reason fewer people are dying from extreme weather

Bob Arum Says One Current World Champion Beats Prime Floyd Mayweather: “He’s A Very Unique Talent”

News24.pro

Стали известны подробности убийства детского тренера под Екатеринбургом

Новая эра гибридных атак разблокирована

Во Владивостоке досрочно обновили Русский мост

Деревенские прогулки II

Game24.pro

Разработчики The Seven Deadly Sins: Origin ответили на частые вопросы игроков

If you'd like to see Meta's AI gunk purged from WhatsApp, a new antitrust investigation in Italy might just do the trick

«Деньги не пахнут»: Как Blox World наживается на доверии игроков Roblox

The next survival game from the developers of Green Hell plops you on an alien planet with atmospheric firestorms and a horde of giant spiders

Russia24.pro

Кабинет Артиста.

Алгоритмы Яндекс Музыки. Алгоритмы продвижения в Яндекс Музыка.

Сахар на вес золота: как изобретение инсулина изменило медицину

Москва превратится в Таиланд. Климатолог Клименко сделал прогноз на 10 лет

News-life

Москва превратится в Таиланд. Климатолог Клименко сделал прогноз на 10 лет

Карпин о «Динамо»: «У нас нехватка кадров, так скажем. Говорить про “довольны”, “недовольны” — мне надо командой заниматься. А трансферная кампания — прерогатива клуба. Кто&nbs

Сахар на вес золота: как изобретение инсулина изменило медицину

Прокуратура Москвы: в пруду в Вешняках утонул 17-летний подросток

Ru24.net

Рособрнадзор опроверг сообщения о «аномальном» числе стобалльников на ЕГЭ

Третью подряд победу со счетом 1:0 одержал воронежский «Факел»

За что пассажиры поездов не любят 3 и 6 купе - и в купейном, и в плацкартном вагоне

Видео: Скандал в Пентагоне на руку Москве

News.tennis

Результата по-прежнему нет: Медведев оступился в Торонто и рискует в ближайшее время покинуть топ-20 рейтинга ATP

Калинская вышла в третий раунд турнира в Монреале

Сафиуллин проиграл Рууду во втором круге турнира ATP в Торонто

Хачанов вышел в 1/8 финала турнира ATP в Торонто

29ru.net

Рособрнадзор опроверг сообщения о «аномальном» числе стобалльников на ЕГЭ

В России официально появится новый профессиональный праздник

«Пул Первого»: Лукашенко завершил рабочий визит в Россию

Визит посланника Трампа в Россию: наладится ли диалог с Москвой?

Музыкальные новости

Poisk-music.ru

Кабинет Артиста в Яндекс. Кабинет Артиста в Яндекс Музыке.

Игорь Бутман планирует большой тур по стране в 2026 году

Оззи Осборна похоронили в саду его особняка

Джигану 40 лет: коллеги поздравили его прямо на сцене

Ria.city

Алгоритмы Яндекс Музыки. Алгоритмы продвижения в Яндекс Музыка.

Москва лидирует по числу миллионеров: 28 тысяч получают свыше 1 млн рублей

Сахар на вес золота: как изобретение инсулина изменило медицину

Москва превратится в Таиланд. Климатолог Клименко сделал прогноз на 10 лет

Rss.plus

Сооружения сервисного участка «Свердловск-Пассажирский» стали арт-объектом

Дуэль топонимов: Азербайджан заставляет извиняться за "Степанакерт" и грозит зеркальным ответом по городам России

У ЦСКА будет свой Лусиано. «Армейцы» в Аргентине нашли замену Келлвену

Суд признал ничтожным договор о правах Разина на песни «Ласкового мая»

Auto.russia24.pro

ДТП на юго-востоке Москвы: пострадали четыре человека, включая пешеходов

В результате ДТП на Волгоградском проспекте в Москве пострадали шесть человек

Автопробег в Финляндии поддержал инициативу открытия границы с Россией

Собянин: Открыт пешеходный переход через МЦД-2 между Щербинкой и Остафьевом

Putin.russia24.pro

Путин анонсировал скоростную трассу Москва-Петербург к 2028 году

Путин отметил, что железнодорожники успешно обеспечивают снабжение вооруженных сил

Путин обсудил перспективы развития железнодорожной сети в России

Путин рассказал о развитии железнодорожной отрасли России

Covid.russia24.pro

Исследование показывает зависимость между темпами развития COVID-19 и уровнем смертности

Руководитель РФПИ охарактеризовал переписку фон дер Ляйен с Pfizer как позорный инцидент

Health.russia24.pro

Букин поделился причинами, почему он не придерживается диеты

Напавший с ножом на людей в Москве был на учёте в психоневрологическом диспансере

«Такие жирные». У мужчины обнаружили страшное заболевание из-за ресторанов

Ученые выяснили, какие болезни погубили войска Наполеона в 1812 году

Zelensky.russia24.pro

В Киеве показательно вскрыли «гнездо» коррупции: Зеленский устроил целый политический театр

Sport.russia24.pro

Спорткар на воде: сборная Тульская области по гребле выступила на мини-Олимпиаде

Спелеолог Алексей Акимов: По годовым кольцам сталактитов можно узнать прошлое Земли

Карпин о «Динамо»: «У нас нехватка кадров, так скажем. Говорить про “довольны”, “недовольны” — мне надо командой заниматься. А трансферная кампания — прерогатива клуба. Кто&nbs

Теннисистка Ярослава Барташевич: Спорт полностью меняет характер

Person.russian.city

Собянин: 9 и 10 августа Москва отметит День физкультурника

Собянин: Открыт пешеходный переход через МЦД-2 между Щербинкой и Остафьевом

Собянин: Количество цветников в Москве с 2010 года увеличено почти в 2,5 раза

Сергей Собянин открыл просторный переход между станциями Щербинка и Остафьево

Ecology.russia24.pro

Московский зоопарк ищет неродственную "невесту" для манула Тимоши

Ликсутов сообщил об открытии велопроката на территории ОЭЗ «Технополис Москва»

В Грозном планируют возвести предприятие по переработке отходов

Конец истории: тополиный пух может навсегда исчезнуть из Москвы

29ru.net

«Пул Первого»: Лукашенко завершил рабочий визит в Россию

Первый самолет из Петербурга прибыл в новый аэропорт Геленджика

Видео: Скандал в Пентагоне на руку Москве

Овчинский рассказал о ходе строительства дома на Ташкентской улице по реновации

Severodvinsk.ws

В администрации муниципального образования «Городской округ «Город Нарьян-Мар» выявлены нарушения законодательства о противодействии коррупции

Бизнесмен из Подмосковья пытался испортить деньгами честного нарьянмарца

Аномальная жара: До +41 °С в Чечне и Ингушетии, +30 °С в Карелии и Архангельске

Институт развития Интернета поддержал мультимедийный просветительский проект холдинга «ЕвроМедиа» о героях и событиях, которые сформировали образ Русского Севера и продолжают вдохновлять поколения

Sevpoisk.ru

Цены на новостройки в июле 2025 года: Севастополь лидирует, Симферополь чуть отстаёт

Задержка поездов в Крым и из Крыма: свежие данные

Задержка поездов в Крым и из Крыма – актуальные данные

Крыму и еще 27 регионам списали долги по бюджетным кредитам на 58 млрд

103news.com

За что пассажиры поездов не любят 3 и 6 купе - и в купейном, и в плацкартном вагоне

«Пул Первого»: Лукашенко завершил рабочий визит в Россию

Экстремальные погодные явления в Центральной России участились на 18%

Рособрнадзор опроверг сообщения о «аномальном» числе стобалльников на ЕГЭ

Агрегатор новостей 24СМИ