Cl0p filtra el primer lote de presuntas víctimas de MOVEit
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Cl0p, grupo de ransomware responsable de comprometer a cientos de empresas al explotar una falla de día cero en la plataforma de transferencia de archivos MOVEit, ha dado a conocer el primer listado de las organizaciones de este ataque, en el cual aparecen al menos 37 nuevas víctimas que han visto filtrada su información corporativa en el sitio del grupo cibercriminal.
Cl0p, grupo cibercriminal vinculado a Rusia, dio a conocer hace algunos días que había advertido a las víctimas que tenían exactamente siete días para pagar su demanda de rescate o el grupo comenzaría a identificar y filtrar en línea sus datos robados.
Tras el incidente de MOVEit, Cl0p afirmó haber comprometido a más de 230 empresas en todo el mundo y amenazó con publicar en su sitio de filtraciones los datos confidenciales extraídos de sus víctimas.
En este sentido, la cantidad de organizaciones potencialmente vulneradas hasta el momento es significativamente mayor que la cantidad inicial nombrada como parte de la más reciente campaña de explotación de Cl0p: Fortra GoAnywhere MFT, entre cuyas víctimas se encuentran Procter & Gamble, Hitachi Energy, Saks Fifth Avenue, Virgin, Rubrik, Crown Resorts y los gobiernos de Toronto y Tasmania, entre otras.
Este incidente se generó a partir de que Cl0p ha estado aprovechando activamente una vulnerabilidad de día cero que descubrió en la aplicación de transferencia de archivos MOVEit Transfer de la empresa Progress Software, durante casi dos años, antes de comenzar a explotarla, lo que ha provocado un efecto devastador desde principios de junio 2023.
En sus periodos de prueba, Cl0p se mantuvo lanzando periódicamente ataques maliciosos contra sistemas vulnerables, con la finalidad de probar si podrían tener acceso a las organizaciones y así identificar a las que debían atacar.
Gran parte de la actividad maliciosa de reconocimiento y prueba en las primeras etapas, identificadas en julio de 2021, parece haber sido de naturaleza manual. Pero a partir de abril de 2022, Cl0p comenzó a utilizar un mecanismo automatizado para sondear varias organizaciones al mismo tiempo y recopilar información de ellas.
A manera de contexto, la actividad de los ataques dirigidos a una vulnerabilidad de inyección SQL en MOVEit Transfer comenzaron a aparecer el 1 de junio de 2023. Cl0p explotaba la falla para robar datos de los clientes de la aplicación de Progress Software. Y ya que este tipo de ataques se estaban dando fácil y velozmente, se esperaba ver una explotación generalizada de los servicios de software sin parches.
Durante los primeros días de junio de 2023, aparecieron los primeros informes de organizaciones víctimas de los ataques, entre las que se encontraban las redes informáticas de los estados norteamericanos de Illinois y Minnesota, la British Broadcasting Company (BBC), British Airways, Nova Scotia, el gobierno de Canadá, Shell Oil, una cadena minorista en el Reino Unido y la farmacia de Walgreen, entre otras entidades. Y, si bien no está claro el número total de agencias gubernamentales de Estados Unidos que han sido vulneradas por la campaña, el Departamento de Energía confirmó que estuvo entre las afectadas.
Cabe señalar que MOVEit es una aplicación de transferencia de archivos administrados que utilizan miles de organizaciones, incluidos grandes corporativos como Disney, Chase, GEICO y las agencias federales de Estados Unidos, para transferir datos confidenciales y archivos de gran tamaño.
Estas aplicaciones se han convertido en un objetivo popular para los atacantes debido al acceso que brindan al tipo de datos por los que las organizaciones probablemente estén dispuestas a pagar, para evitar que se filtren o se bloqueen en un ataque de ransomware.
Es importante señalar que el 15 de junio de 2023, Progress Software reveló una tercera vulnerabilidad que afecta a su aplicación MOVEit Transfer, ya que Cl0p desplegó tácticas de extorsión contra las empresas afectadas.
La nueva falla, a la que aún no se le ha asignado un identificador CVE, también se refiere a una vulnerabilidad de inyección SQL. Progress Software insta a sus clientes a deshabilitar todo el tráfico HTTP y HTTPs a MOVEit Transfer en los puertos 80 y 443 para proteger sus entornos mientras se prepara una solución para abordar la debilidad. La solución de transferencia de archivos gestionada en la nube se ha parcheado por completo.
El anuncio se produce días después de que Progress divulgara otro conjunto de vulnerabilidades de inyección SQL (CVE-2023–35036), que podrían usarse como armas para acceder al contenido de la base de datos de la aplicación.
Las vulnerabilidades se unen a CVE-2023–34362, que fue explotada como un día cero por la banda de ransomware Cl0p en ataques de robo de datos.
Para más información, visite: https://www.silikn.com/