Olie- en gasgigant Shell is één van de slachtoffers van een wereldwijde ransomware-aanval waarbij gebruik is gemaakt van een zerodaylek in MOVEit Transfer. De criminelen achter de Clop-ransomware zijn begonnen om via hun eigen website namen van slachtoffers bekend te maken, waarop ook de naam van Shell is verschenen.

"We zijn bekend met een cybersecurity-incident met een third-party tool van Progress genaamd MOVEit Transfer, dat door een klein aantal medewerkers en klanten van Shell wordt gebruikt", aldus een woordvoerder tegenover ComputerWeekly. "Er zijn geen aanwijzingen dat de kernsystemen van Shell zijn geraakt. Onze it-teams zijn bezig met een onderzoek en we communiceren niet met de hackers."

MOVEit Transfer is een applicatie voor het uitwisselen van bestanden. Allerlei organisaties maken er gebruik van om onder andere vertrouwelijke informatie binnen de organisatie te delen. De Clop-ransomwaregroep zou sinds 2021 over een kwetsbaarheid hebben beschikt waarmee het mogelijk is om MOVEit-servers te infecteren en data te stelen. Tijdens het Memorial Day weekend in de Verenigde Staten vorige maand vond er grootschalig misbruik van het lek plaats. Voor dit beveiligingslek, aangeduid als CVE-2023-34362, kwam Progress eind mei met een update.

De Clop-groep heeft een eigen website waar het namen van getroffen organisaties plaatst. Op deze manier proberen de criminelen druk uit te oefenen zodat de betreffende organisaties het gevraagde losgeld betalen. Vaak krijgen die hier een aantal dagen de tijd voor. Daarna dreigt de Clop-groep de gestolen data openbaar te maken. Eerder maakten BBC, de Britse apothekersketen Boots, British Airways, de Britse toezichthouder Ofcom en Transport for London maakten melding van een datalek als gevolg van de aanval. Landal GreenParks waarschuwde 12.000 gasten voor een mogelijk datalek.