Se da a conocer un nuevo listado de organizaciones usuarias de MOVEit, víctimas del ataque del grupo de ransomware Cl0p
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
El recuento de organizaciones afectadas por el ataque a la cadena de suministro de Cl0p, grupo cibercriminal vinculado a Rusia, contra los usuarios del popular software de transferencia de archivos MOVEit de Progress Software, continúa creciendo.
Hasta hoy, 28 de junio de 2023, 108 organizaciones, incluidas siete universidades de Estados Unidos, han sido incluidas en la lista de Cl0p. No obstante, se estima que hay casi 200 organizaciones que parecen haberse visto afectadas.
El grupo de ransomware Cl0p aprovechó una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit para robar datos. La mayoría de los ataques parecen haber sido lanzados el 27 y 28 de mayo de 2023, aparentemente programados para coincidir con el largo fin de semana festivo del Memorial Day, en los Estados Unidos.
Progress Software lanzó parches por primera vez para las versiones compatibles de MOVEit el 31 de mayo de 2023 para corregir la falla explotada, designada CVE-2023–34362. De igual forma, hasta el 15 de junio de 2023, Progress había corregido otras dos vulnerabilidades de día cero, que aparentemente no fueron aprovechadas por los cibercriminales.
Antes de que se emitieran parches de seguridad para la vulnerabilidad inicial de día cero, los atacantes robaron datos de las organizaciones víctimas, que incluían información privada de millones de personas. Cl0p rápidamente se atribuyó el ataque. Si bien el grupo ha utilizado ransomware contra objetivos anteriores, la actividad contra MOVEit solo parece involucrar la exfiltración de datos, al igual que otro ataque de día cero ejecutado por este mismo grupo criminal, a principios de 2023, dirigido a los usuarios del software de transferencia de archivos GoAnywhere.
Cabe señalar que MOVEit cuenta con miles de usuarios en todo el mundo, y es posible que aún salgan a la luz más víctimas. Cl0p ha mencionado que están filtrando los nombres de las empresas afectadas lentamente para que tengan tiempo de contactarlos.
Cl0p incluyó en el lista de víctimas a la University of California, Los Angeles (UCLA), al gigante del petróleo y el gas Shell, las firmas de servicios financieros estadounidenses 1st Source y First National Bankers Bank, The Boston Globe, el gobierno de la provincia canadiense de Nueva Escocia, el organismo de control de medios del Reino Unido Ofcom, el proveedor de nómina británico Zelle y, por extensión, ocho de sus clientes, incluidos la BBC, la cadena de farmacias Boots y British Airways, varias agencias gubernamentales de Estados Unidos, incluido el Departamento de Energía, así como Schneider Electric, Siemens Energy, Werum, AbbVie, Kirkland, Cognizant, PwC, EY, Sony, entre otras.
Es posible que algunas de las dependencias de gobierno que han informado ser víctimas de los ataques de MOVEit nunca vean sus datos robados en la lista de Cl0p, pues el grupo se ha esforzado al máximo para afirmar que todos los datos del gobierno que roba se eliminan rápidamente, y en su sitio de fuga de datos afirma que tiene una agenda puramente financiera, no política.
Cl0p afirma que, como parte de la campaña MOVEit, eliminó datos gubernamentales que robó de 30 organizaciones, incluidas agencias gubernamentales. No obstante, el grupo de ransomware ya podría haber vendido cualquier dato de interés a los servicios de inteligencia extranjeros.
Para más información, visite: https://www.silikn.com/