Se incrementan las víctimas del ataque de Cl0p contra MOVEit. ¿Está su organización en peligro?

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

La cantidad de organizaciones afectadas por el ataque a la cadena de suministro del grupo Cl0p ransomware, contra los usuarios del popular software de transferencia de archivos MOVEit de Progress Software, sigue en aumento, pues se aproxima a la cifra de las 200 al cierre de la última semana de junio de 2023.

El grupo cibercriminal ruso, Cl0p, aprovechó una vulnerabilidad de día cero en el software de transferencia de archivos MOVEit para robar datos corporativos. La mayoría de los ataques parecen haber sido lanzados entre el 27 y el 28 de mayo de 2023, aparentemente programados para coincidir con el largo fin de semana festivo del Memorial Day, en Estados Unidos.

En este sentido, Progress lanzó parches por primera vez para las versiones compatibles de MOVEit el 31 de mayo de 2023, para corregir la falla explotada, designada como CVE-2023–34362. Hasta el 15 de junio de 2023, Progress había corregido otras dos vulnerabilidades de día cero. Cabe mencionar que, antes de que se emitieran los parches de seguridad para la vulnerabilidad inicial de día cero, Cl0p robó datos que incluían información personal de millones de personas.

¿Cómo puedo saber si mi organización es víctima del ataque de Cl0p?

El impacto generalizado del ataque dice mucho de las capacidades técnicas del grupo: están bien financiados, tienen buenos recursos e impactan grandes organizaciones. Estos ataques cuidadosos, dedicados y planificados están diseñados para ser muy silenciosos y muy fuertes a la vez.

Determinar los indicadores técnicos que indican al adversario detrás de cualquier ataque siempre es complicado ya que las tácticas cambian, no obstante, los siguientes indicadores brindan un punto de partida para investigar si el grupo Cl0p ha explotado las vulnerabilidades en las utilidades de transferencia de archivos MOVEit y puede estar en su red.

Cl0p ha utilizado una serie de vulnerabilidades en los servicios de transferencia de archivos, como GoAnywhere MFT en enero, 2023 (CVE-2023–0669) y las plataformas de transferencia de archivos administradas MOVEit a fines de mayo y principios de junio, 2023 (CVE-2023–34362).

Sin embargo, una característica del ataque contra MOVEit es que normalmente deja pocos indicadores técnicos. El éxito prolongado del ataque Cl0p contra el software de transferencia de archivos administrado MOVEit y la dificultad para encontrar indicadores de compromiso muestran que los fabricantes deben realizar un esfuerzo adicional para garantizar que el registro útil, desde el punto de vista forense, esté disponible.

Algo hay que tener en cuenta es que, al buscar remediar la vulnerabilidad y erradicar el acceso de Cl0p, muchas empresas estaban borrando por completo la aplicación y esto también borra la evidencia.

Un punto a revisar es que, en algún momento durante un ataque, es probable que Cl0p implemente ransomware del mismo nombre. Originalmente, el malware se instaló a través de ataques de phishing, pero cada vez más los ataques se han dirigido a grandes organizaciones, a menudo con exploits para vulnerabilidades nuevas o recientes en el software de administración o transferencia de archivos.

Cl0p utiliza certificados de firma de código legítimos para evadir la detección por parte del software de seguridad y también detienen varios procesos del sistema, incluidos los que pertenecen a programas de copia de seguridad y soluciones de seguridad.

Después de la ejecución, el ransomware Cl0p agrega una variedad de extensiones a los archivos de la víctima, incluidos .clop, .CIIp, .Cllp y .C_L_O_P.

Al igual que con cualquier indicador técnico, las firmas estáticas tienen un uso limitado porque los atacantes a menudo personalizan sus métodos como una forma de eludir la detección basada en reglas fijas.

Otros indicadores técnicos comunes del grupo Cl0p son las herramientas auxiliares que utilizan para extender su compromiso o las formas alternativas en las que obtienen acceso inicial.

El descargador de Truebot, por ejemplo, es una carga útil que a menudo conduce a una infección de Cl0p. Truebot a menudo conduce a la instalación de Cobalt Strike. Para la exfiltración, también se usa comúnmente una herramienta personalizada conocida como Teleport.

Como recomendación, las organizaciones siempre deben buscar señales de que se está extrayendo un gran volumen de datos, especialmente en la infraestructura que se sabe que utiliza Cl0p. Las medidas de seguridad estándar pueden ayudar, por ejemplo, implementando soluciones de detección y respuesta de punto final, en aplicaciones de transferencia de archivos en un sistema MOVEit o un sistema GoAnywhere. Usar un sensor de red y rastrear el tráfico saliente de la red también puede ayudar.

Debemos recordar que la prevención y la precaución son clave para protegerse contra el ransomware. Es fundamental mantener sus sistemas actualizados, ser consciente de las posibles amenazas y tomar medidas proactivas para proteger los datos.

Para más información, visite: https://www.silikn.com/