imágenes falsas
Organizaciones grandes y pequeñas están siendo víctimas de la explotación masiva de una vulnerabilidad crítica en un programa de transferencia de archivos ampliamente utilizado. La explotación comenzó durante el feriado del Día de los Caídos, mientras que la vulnerabilidad crítica aún era un día cero, y continúa ahora, unos nueve días después.
A partir del lunes por la noche, el servicio de nómina Zellisel canadiense provincia de Nueva Escocia, British Airways, la BBC y el minorista británico Boots fueron conocidos por el robo de datos a través de los ataques, que son alimentados por una vulnerabilidad parcheada recientemente en MOVEit, un proveedor de transferencia de archivos que ofrece servicios tanto en la nube como en las instalaciones. Tanto Nova Scotia como Zellis sufrieron brechas en sus propias instancias o servicios en la nube. British Airways, la BBC y Boots eran clientes de Zellis. Toda la actividad de piratería se ha atribuido al sindicato del crimen Clop de habla rusa.
Extendido y bastante sustancial
A pesar de la cantidad relativamente pequeña de infracciones confirmadas, los investigadores que monitorean los ataques en curso describen la explotación como generalizada. Comparan los hacks con robos de romper y agarrar, en los que se rompe una ventana y los ladrones agarran lo que pueden, y advierten que los robos rápidos están afectando a bancos, agencias gubernamentales y otros objetivos en números alarmantemente altos.
“Tenemos un puñado de clientes que ejecutaban MOVEit Transfer abierto a Internet, y todos estaban comprometidos”, escribió Steven Adair, presidente de la firma de seguridad Volexity, en un correo electrónico. “Otras personas con las que hemos hablado han visto algo similar”.
Adair continuó:
No quiero categorizar a nuestros clientes en este punto, ya que no sé qué hay en términos de quién está ejecutando el software y regalarlos. Dicho esto, sin embargo, son tanto las organizaciones grandes como las pequeñas las que se han visto afectadas. Todos los casos que hemos investigado han implicado algún nivel de exfiltración de datos. Los atacantes generalmente tomaron archivos de los servidores MOVEit menos de dos horas después de la explotación y el acceso de shell. Creemos que esto probablemente fue generalizado y que una cantidad considerable de servidores de MOVEit Transfer que ejecutaban servicios web orientados a Internet se vieron comprometidos.
Caitlin Condon, gerente senior de investigación de seguridad que dirige el brazo de investigación de la firma de seguridad Rapid7, dijo que normalmente su equipo reserva el término “amenaza generalizada” para eventos que involucran “muchos atacantes, muchos objetivos”. Los ataques en curso no tienen ninguno. Hasta el momento, solo hay un atacante conocido: Clop, un grupo de habla rusa que se encuentra entre los actores de ransomware más prolíficos y activos. Y con el motor de búsqueda de Shodan indexando solo 2510 instancias de MOVEit orientadas a Internet cuando comenzaron los ataques, es justo decir que no hay “muchos objetivos”, en términos relativos.
En este caso, sin embargo, Rapid7 está haciendo una excepción.
“No estamos viendo actores de amenazas de productos básicos o atacantes poco calificados lanzando exploits aquí, pero la explotación de objetivos de alto valor disponibles a nivel mundial en una amplia gama de tamaños de organizaciones, verticales y ubicaciones geográficas nos inclina la balanza al clasificar esto. como una amenaza generalizada”, explicó en un mensaje de texto.
Señaló que el lunes fue solo el tercer día hábil desde que el incidente se hizo ampliamente conocido y es posible que muchas víctimas recién ahora se enteren de que estaban comprometidas. “Esperamos ver una lista más larga de víctimas a medida que pasa el tiempo, particularmente a medida que entran en juego los requisitos reglamentarios para informar”, escribió.
Mientras tanto, el investigador independiente Kevin Beaumont, dicho en las redes sociales el domingo por la noche: “He estado rastreando esto: hay un número de dos dígitos de organizaciones a las que les robaron datos, que incluye varias organizaciones gubernamentales y bancarias de EE. UU.”.
La vulnerabilidad de MOVEit proviene de una falla de seguridad que permite inyección SQL, una de las clases de exploit más antiguas y comunes. A menudo abreviadas como SQLi, estas vulnerabilidades generalmente se derivan de una falla de una aplicación web para eliminar adecuadamente las consultas de búsqueda y otras entradas de caracteres del usuario que una aplicación podría considerar un comando. Al ingresar cadenas especialmente diseñadas en campos de sitios web vulnerables, los atacantes pueden engañar a una aplicación web para que devuelva datos confidenciales, otorgue privilegios administrativos al sistema o altere la forma en que funciona la aplicación.
Cronología
Según una publicación publicada por la firma de seguridad Mandiant el lunes, los primeros signos de la ola de explotación de Clop ocurrieron el 27 de mayo. En algunos casos, el robo de datos ocurrió a los pocos minutos de la instalación de un webshell personalizado rastreado como LemurLoot, dijeron los investigadores. Agregaron:
Mandiant está al tanto de múltiples casos en los que se han robado grandes volúmenes de archivos de los sistemas de transferencia MOVEit de las víctimas. LEMURLOOT también puede robar información de Azure Storage Blob, incluidas las credenciales, de la configuración de la aplicación MOVEit Transfer, lo que sugiere que los actores que explotan esta vulnerabilidad pueden estar robando archivos de Azure en los casos en que las víctimas almacenan datos del dispositivo en Azure Blob Storage, aunque no está claro si el robo se limita a los datos almacenados de esta manera.
El webshell está disfrazado con nombres de archivo como “human2.aspx” y “human2.aspx.lnk” en un intento de hacerse pasar por human.aspx, un componente legítimo del servicio MOVEit Transfer. Mandiant también dijo que “observó varias solicitudes POST realizadas al archivo guestaccess.aspx legítimo antes de la interacción con el webshell LEMURLOOT, lo que indica que los ataques SQLi se dirigieron hacia ese archivo”.
El 31 de mayo, cuatro días después de que comenzaran los primeros ataques, el proveedor de MOVEit Progress parcheado la vulnerabilidad En un día, las publicaciones en las redes sociales salió a la superficie informando que la vulnerabilidad estaba siendo explotada por un actor de amenazas que estaba instalando un archivo llamado human2.aspx en el directorio raíz de los servidores vulnerables. Próximamente firmas de seguridad confirmado los informes
La atribución formal de que Clop está detrás de los ataques llegó el domingo de Microsoft, que vinculado los ataques a “Lace Tempest”, el nombre que usan los investigadores de la compañía para rastrear una operación de ransomware que mantiene el sitio web de extorsión para el grupo de ransomware Clop. Mientras tanto, Mandiant descubrió que las tácticas, técnicas y procedimientos utilizados en el ataque coincidían con los de un grupo rastreado como FIN11que ha implementado el ransomware Clop en el pasado.
Clop es el mismo actor de amenazas que explotó en masa CVE-2023-0669, una vulnerabilidad crítica en un servicio de transferencia de archivos diferente conocido como GoAnywhere. Esa ola de piratería permitió a Clop derribar a la empresa de seguridad de datos Rubrik, obtener información de salud para un millón de pacientes de una de las cadenas de hospitales más grandes y (según Bleeping Computer) tomar el crédito por piratear 130 organizaciones. La investigación de la firma de seguridad Huntress también ha confirmado que el malware utilizado en las intrusiones que explotan CVE-2023-0669 tenía vínculos indirectos con Clop.
Hasta el momento, no hay informes conocidos de víctimas que hayan recibido demandas de rescate. El sitio de extorsión de Clop tampoco ha mencionado hasta ahora los ataques. “Si el objetivo de esta operación es la extorsión”, escribieron los investigadores de Mandiant, “anticipamos que las organizaciones de víctimas podrían recibir correos electrónicos de extorsión en los próximos días o semanas”.