Morgan Stanley revela una violación de datos que resultó de los hackeos de Accellion FTA

Un hombre de dibujos animados atraviesa un campo blanco de unos y ceros.

Morgan Stanley sufrió una violación de datos que expuso datos confidenciales de los clientes y se convirtió en la última víctima conocida de los piratas informáticos que explotan una serie de vulnerabilidades ahora parcheadas en Accellion FTA, un servicio de transferencia de archivos de terceros ampliamente utilizado.

Los datos obtenidos incluyeron nombres, direcciones, fechas de nacimiento, números de seguro social y nombres de empresas corporativas afiliadas, dijo Morgan Stanley en un letra reportado por primera vez por Computadora que suena. Un servicio de terceros llamado Guidehouse, que brinda servicios de mantenimiento de cuentas a la empresa de servicios financieros, estaba en posesión de los datos en ese momento. Los piratas informáticos desconocidos obtuvieron los datos explotando un serie de trucos que salió a la luz en diciembre y enero.

¿Por qué tomó tanto tiempo?

Morgan Stanley declaró:

Según Guidehouse, la vulnerabilidad de Accellion FTA que condujo a este incidente se corrigió en enero de 2021, dentro de los 5 días posteriores a la disponibilidad del parche. Aunque los datos fueron obtenidos por una persona no autorizada en esa época, el proveedor no descubrió el ataque hasta marzo de 2021 y no descubrió el impacto en Morgan Stanley hasta mayo de 2021, debido a la dificultad de determinar retroactivamente qué archivos se almacenaron en el dispositivo Accellion FTA cuando el dispositivo era vulnerable. Guidehouse ha informado a Morgan Stanley que no encontró evidencia de que los datos de Morgan Stanley se hubieran distribuido más allá del actor de la amenaza.

Los representantes de Guidehouse no respondieron de inmediato a un correo electrónico en el que se preguntaba por qué la empresa tardó tanto en descubrir la infracción, notificar a los clientes y descubrir si otros clientes de Guidehouse también estaban comprometidos. Esta publicación se actualizará si llega una respuesta después de la publicación.

Los clientes de Accellion utilizan File Transfer Appliance como una alternativa segura al correo electrónico para enviar archivos de datos de gran tamaño. En lugar de recibir un archivo adjunto, los destinatarios del correo electrónico obtienen enlaces a archivos alojados en el FTA, que luego se pueden descargar. Aunque el producto tiene casi 20 años y Accellion ha estado transfiriendo clientes a un producto más nuevo, el FTA heredado todavía es utilizado por cientos de organizaciones en los sectores de finanzas, gobierno y seguros.

Cl1p Cl0p

De acuerdo a investigar Accellion encargado a la firma de seguridad Mandiant, piratas informáticos desconocidos explotaron las vulnerabilidades para instalar un shell web que les proporcionó una interfaz basada en texto para instalar malware y emitir otros comandos en redes comprometidas. Mandiant también dijo que muchas de las organizaciones pirateadas luego recibieron demandas de extorsión que amenazaban con publicar datos robados en un sitio web oscuro afiliado al grupo de ransomware Cl0p a menos que pagaran un rescate.

La primera actividad detectada en la campaña de piratería se produjo a mediados de diciembre cuando Mandiant identificó a los piratas informáticos que explotaban una vulnerabilidad de inyección de SQL en el Accellion FTA. El exploit sirvió como punto de intrusión inicial. Con el tiempo, los atacantes explotaron vulnerabilidades adicionales de FTA para obtener suficiente control para instalar el shell web.

Los investigadores de Mandiant escribieron:

A mediados de diciembre de 2020, Mandiant respondió a varios incidentes en los que se utilizó un shell web que llamamos DEWMODE para extraer datos de los dispositivos Accellion FTA. El dispositivo Accellion FTA es una aplicación especialmente diseñada para permitir que una empresa transfiera archivos grandes de forma segura. La actividad de exfiltración ha afectado a entidades de muy diversos sectores y países.

A lo largo de estos incidentes, Mandiant observó el uso común de infraestructura y TTP, incluida la explotación de dispositivos FTA para implementar el shell web DEWMODE. Mandiant determinó que un actor de amenazas común que ahora rastreamos como UNC2546 era responsable de esta actividad. Si bien aún se están analizando los detalles completos de las vulnerabilidades aprovechadas para instalar DEWMODE, la evidencia de múltiples investigaciones de clientes ha mostrado múltiples puntos en común en las actividades de UNC2546.

Otras organizaciones que los investigadores sospechan que fueron violadas a través de las vulnerabilidades incluyen la compañía petrolera Shell, la firma de seguridad Qualys, el minorista de gasolina RaceTrac Petroleum, el bufete de abogados internacional Jones Day, el auditor del estado de Washington, el banco estadounidense Flagstar, las universidades estadounidenses Stanford y la Universidad de California, y la Banco de la Reserva de Nueva Zelanda.

El mes pasado, las autoridades de Ucrania arrestaron a seis presuntos afiliados a Cl0p. Una semana después, el sitio web oscuro utilizado para publicar datos robados a través del ransomware Cl0p publicó nuevos tramos, lo que demuestra que un grupo central de miembros permaneció activo.

Sin advertencia avanzada

Los exploits in-the-wild de las vulnerabilidades del FTA se detectaron por primera vez a fines de diciembre. La empresa inicialmente dijo que había notificado a todos los clientes afectados y solucionado las vulnerabilidades de día cero que permitieron el ataque dentro de las 72 horas posteriores a su conocimiento. Más tarde, Mandiant descubrió dos días cero adicionales.

Algunos clientes se han quejado en el pasado de que Accellion tardaba en proporcionar notificaciones de las vulnerabilidades atacadas.

“Dependíamos demasiado de Accellion, el proveedor de la aplicación de transferencia de archivos (FTA), para alertarnos sobre cualquier vulnerabilidad en su sistema”, dijeron funcionarios del Banco de la Reserva de Nueva Zelanda. dicho En Mayo. “En este caso, las notificaciones que nos enviaron no salieron de su sistema y, por lo tanto, no llegaron al Banco de la Reserva antes de la infracción. No recibimos ninguna advertencia previa “.

En un comunicado, los representantes de Morgan Stanley escribieron: “La protección de los datos de los clientes es de suma importancia y es algo que nos tomamos muy en serio. Estamos en estrecho contacto con Guidehouse y estamos tomando medidas para mitigar los riesgos potenciales para los clientes ”.

Leave a Reply

Your email address will not be published. Required fields are marked *