Ciudad de México a 08 de junio de 2023.- “Este es nuestro ataque” indicaba el mensaje enviado a Reuters por parte de los hackers detrás del ataque a MOVEit, un popular software de transferencia de archivos administrados que las organizaciones utilizan para intercambiar datos confidenciales y archivos grandes tanto interna como externamente.
De acuerdo con Mandiant de Google los encargados de rastrear este ataque, la actividad por parte de los ciberdelincuentes inició desde el 27 de mayo, cuatro días antes de que Progress revelara la vulnerabilidad y emitiera parches para todas las versiones afectadas del software. Este ataque permitió a los ciberdelincuentes acceder a la información de una amplia variedad de empresas globales que hacían uso de MOVEit transfer.
“Las empresas han llegado a confiar en las soluciones de transferencia de archivos a lo largo de los años, por lo que hay varias opciones disponibles. Al comprometer las soluciones de transferencia de archivos, los actores de amenazas pueden robar datos de decenas de cientos de empresas atacando instancias individuales de transferencia de archivos, ya que estas soluciones suelen albergar información muy sensible. Esto resulta muy valioso para las amenazas, especialmente los grupos de ransomware, que amenazan con filtrar los datos robados en la red oscura.” indicó Satnam Narang, ingeniero Senior de Investigación en Tenable
El análisis elaborado por Mandiant mostró que el robo de datos en este ataque se atribuye a LEMURLOOT, un Shell web diseñado específicamente para interactuar con MOVEit, este malware auténtica las conexiones entrantes a través de una contraseña codificada y puede ejecutar comandos en el sistema. Los atacantes podrían obtener privilegios escalados y acceso no autorizado al entorno. Adicionalmente podría obtener información sobre la estructura y el contenido de la base de datos en función del motor de base de datos que utilice.
Ransomware CLOP detrás de los ataques
Detrás de este hackeo masivo, se encuentra el grupo cibercriminal de Ransomware CLOP, este grupo ha sido identificado desde 2019 y han sido responsables de gestionar los zero days en otras soluciones de transferencia de archivos como CVE-2023-0669 en GoAnywhere a principios de este año.
“Clop ha existido desde 2019, y aunque el grupo ha operado utilizando tácticas de doble extorsión (cifrado de datos y exfiltración con amenazas de publicar datos robados), han girado lentamente hacia un enfoque en la exfiltración de datos, como lo demuestra la orientación de la transferencia de archivos. El cifrado de datos por sí solo no es un incentivo suficiente para que las organizaciones víctimas paguen demandas de rescate exorbitantes. Sin embargo, la exfiltración de datos y las amenazas de publicar datos robados tienen mucho más peso y es en gran medida lo que ha impulsado a los grupos de doble extorsión y ransomware a tener tanto éxito.” agregó el ingeniero Senior de Investigación en Tenable.
Desde finales de 2020, los dispositivos y soluciones de transferencia de archivos, desde Accellion hasta GoAnywhere, se han convertido en un objetivo valioso para los ciberdelincuentes, específicamente grupos como el antes mencionado, los cuales han logrado violar cientos de organizaciones que confían en estas soluciones para transferir datos confidenciales.
El grupo de ransomware no ha revelado el número de organizaciones afectadas por los ataques de MOVEit Transfer y confirmó que no ha comenzado a extorsionar a las víctimas. Probablemente utilizando el tiempo para revisar los datos y determinar qué es valioso y cómo podría ser utilizado para aprovechar una demanda de rescate de las empresas violadas. En los recientes ataques de la banda GoAnywhere MFT, Clop esperó más de un mes para enviar por correo electrónico las peticiones de rescate a las organizaciones. El grupo afirmó que las víctimas aparecerán en su sitio de filtración de datos si no se pagaba el rescate.
Las organizaciones deben tomar acción
Tenable advirtió que las organizaciones que usan el software MOVEit deberían asumir compromisos y participar en la respuesta a incidentes para determinar el impacto potencial, si lo hubiera.
Se está visualizando un efecto muy serio a medida que los actores de amenazas explotan esta falla. Tenable, empresa de exposure management, prevé que esto es solo el comienzo de las organizaciones que revelan que se han visto afectadas.
“Las vulnerabilidades se revelan todos los días, y los actores de amenazas solo esperan ver si se pueden monetizar. En lugar de esperar a ser atacado y luego responder, es vital que los equipos de seguridad adopten un enfoque preventivo para la ciberdefensa. La necesidad de comprender su superficie de ataque y administrar proactivamente el riesgo para el negocio nunca ha sido más urgente”. Concluye Amit Yoran, CEO, Tenable.
Acerca de Tenable
Tenable® es la compañía de Cyber Exposure. Más de 40,000 organizaciones de todo el mundo confían en Tenable para comprender y reducir el riesgo cibernético. Como creador de Nessus®, Tenable extendió su expertise sobre vulnerabilidades a fin de ofrecer la primera plataforma del mundo para ver y proteger los activos digitales en cualquier plataforma informática. Entre los clientes de Tenable, se encuentran más del 60% de las compañías de la lista Fortune 500, más del 40% de las compañías de la lista Global 2000 y grandes instituciones gubernamentales. Para obtener más información, visite: es-la.tenable.com
- Redes sociales Tenable:
- Website: https://www.tenable.com/
- Twitter: https://twitter.com/tenablesecurity
- LinkedIn: https://www.linkedin.com/company/tenableinc/
- Facebook: https://www.facebook.com/Tenable.Inc
No hay comentarios:
Publicar un comentario