Las consecuencias dramáticas continúan en la explotación masiva de una vulnerabilidad crítica en un programa de transferencia de archivos ampliamente utilizado, con al menos tres nuevas víctimas saliendo a la luz en los últimos días. Incluyen el Departamento de Educación de la Ciudad de Nueva York y las empresas de energía Schneider Electric y Siemens Electric.
Hasta la fecha, la ola de piratería parece haber violado 122 organizaciones y obtenido los datos de aproximadamente 15 millones de personas, según las publicaciones que el grupo criminal ha publicado o las revelaciones de las víctimas, dijo en una entrevista Brett Callow, analista de amenazas de la compañía de antivirus Emsisoft. .
Microsoft ha vinculado los ataques a Clop, un sindicato de ransomware de habla rusa. Todos los ataques son el resultado de que Clop explotó lo que había sido una vulnerabilidad de día cero en MOVEit, un servicio de transferencia de archivos que está disponible tanto en la nube como en las instalaciones.
Los primeros signos de la ola de explotación ocurrieron el 27 de mayo. Cuatro días después, el proveedor de MOVEit, Progress, parchó la vulnerabilidad, que se rastrea como CVE-2023-34362. El día cero surgió de una inyección de SQL. Estas se encuentran entre las formas más antiguas de vulnerabilidad y son el resultado de malas prácticas de codificación que se pueden prevenir. Incluso después de que Progress emitió la solución, algunos usuarios de MOVEit continuaron siendo pirateados porque aún no lo habían instalado en sus redes.
Entre las primeras víctimas confirmadas se encuentran el servicio de nómina Zellis y la provincia canadiense de Nueva Escocia. Se sabía que los clientes de Zellis, British Airways, la BBC, Aer Lingus, HSE de Irlanda y el minorista británico Boots habían sufrido el robo de datos a través de la violación del servicio de nómina. Pronto salieron a la luz otras víctimas, incluidas dos entidades del Departamento de Energía, los estados de EE. Misuri y Illinoisel Junta Americana de Educación Redes extremasy Ofcam.
Los datos de las licencias de conducir de millones de ciudadanos de Oregón y Luisiana también han sido robados en los ataques. CNN tiene reportado que el Departamento de Agricultura también puede verse afectado.
Los zapatos siguen cayendo
El martes, el sitio de Clop nombró a Siemens Electric como otra víctima y, poco después, se informó ampliamente que los funcionarios de la compañía confirmaron que sus sistemas habían sido violados en la campaña de Clop.
“Según el análisis actual, ningún dato crítico se ha visto comprometido y nuestras operaciones no se han visto afectadas”, dijo un representante de Siemens Electric a los medios de comunicación. incluido Cyberscoop. “Tomamos medidas inmediatas cuando nos enteramos del incidente”. Los intentos de Ars de comunicarse con Siemens Electric no tuvieron éxito.
Clop nombró a Schneider Electric como otra víctima. En un correo electrónico, un funcionario de Schneider Electric escribió: “El 30 de mayo de 2023, Schneider Electric se dio cuenta de las vulnerabilidades que afectan al software Progress MOVEit Transfer. Implementamos rápidamente las mitigaciones disponibles para proteger los datos y la infraestructura y continuamos monitoreando la situación de cerca”.
El sábado por la noche, el director del Departamento de Educación de la Ciudad de Nueva York se adelantó decir que también había sido atacado en la campaña de Clop.
“La revisión de los archivos afectados está en curso, pero los resultados preliminares indican que aproximadamente 45,000 estudiantes, además del personal del DOE y los proveedores de servicios relacionados, se vieron afectados”, escribió Emma Vadehra, directora de operaciones del departamento. “Se accedió a unos 19.000 documentos sin autorización. Los tipos de datos afectados incluyen números de seguridad social y números de identificación de empleados (no necesariamente para todas las personas afectadas; por ejemplo, se incluyeron aproximadamente 9000 números de seguridad social)”.
Clop es un grupo de habla rusa que se encuentra entre los actores de ransomware más prolíficos y activos. El actor de amenazas recientemente explotó en masa CVE-2023-0669, una vulnerabilidad crítica en un servicio de transferencia de archivos diferente conocido como GoAnywhere. Esa ola de piratería también se cobró más de 100 organizaciones, incluida la empresa de seguridad de datos Rubrik y Community Health Systems de Franklin, Tennessee. El hackeo de Community Health Systems, una de las mayores cadenas de hospitales, permitió a Clop obtener información de salud de 1 millón de pacientes.