La famosa banda de ransomware Clop fue encontrada responsable de una nueva ronda de ataques sofisticados dirigidos al ampliamente utilizado servicio de transferencia MOVEit Transfer, dijeron expertos en ciberseguridad.
Las preocupaciones sobre el acceso no autorizado a las bases de datos de los servidores MOVEit comprometidos aumentan a medida que aparecen las primeras víctimas. Progress Software, el creador de MOVEit, ha publicado correcciones para la vulnerabilidad recientemente identificada.
Zellis, desarrollador de software de recursos humanos y proveedor de servicios de nómina con sede en el Reino Unido, informó durante el fin de semana que un pequeño número de sus clientes comerciales se había visto afectado por una violación de seguridad en su sistema MOVEit.
El ciberataque Clop, que información personal expuesta, también ha provocado advertencias de grandes corporaciones, incluidas British Airways y Boots, a su personal, según un informe de Yahoo! Vida.
Según un informe de prensa anterior, se sospecha que la banda de hackers de habla rusa Clop está detrás del ataque. Este truco utiliza principalmente una debilidad en MOVEit Transfer. Muchas empresas utilizan MOVEit, este programa de transferencia de archivos ampliamente utilizado, en todo el mundo, lo que las deja expuestas a la explotación de los ciberdelincuentes.
Según los dispositivos y registros de acceso público encontrados por el motor de búsqueda Shodan, alrededor de 2.500 servidores MOVEit Transfer están disponibles en línea.
Se recomienda acción inmediata
Se recomendó encarecidamente a las empresas que utilizan el software afectado que tomen medidas inmediatas. Según los investigadores de Microsoft, la fuga de datos suele ocurrir una vez que MOVEit la vulnerabilidad ha sido explotadasegún TechCrunch.
Microsoft está atribuyendo ataques que explotan la vulnerabilidad CVE-2023-34362 MOVEit Transfer 0-day a Lace Tempest, conocido por operaciones de ransomware y por ejecutar el sitio de extorsión Clop. El actor de amenazas ha utilizado vulnerabilidades similares en el pasado para robar datos y extorsionar a las víctimas. pic.twitter.com/q73WtGru7j
– Inteligencia de amenazas de Microsoft (@MsftSecIntel) 5 de junio de 2023
Mandiant escribió en una publicación de blog el fin de semana que existen similitudes “notables” entre UNC4857, un grupo de amenazas formado recientemente con “motivaciones desconocidas”, y FIN11, un notorio grupo de ransomware que opera el ransomware Clop. Mandiant dijo que el examen continuo de la actividad que se está produciendo “puede proporcionar información adicional”.
Charles Carmakal, director de tecnología de Mandiant, corroboró los indicios de filtración de datos de numerosas víctimas, lo que indica que es posible que se presenten más víctimas de violaciones de MOVEit en los próximos días.
Una amenaza de alto riesgo
El ransomware Clop, activo bajo el ransomware-as-a-service (RaaS) desde hace más de cuatro años, se dirige principalmente a empresas con ingresos anuales de 5 millones de dólares o más en Estados Unidos, Canadá, América Latina, Asia Pacífico y Europa, según el Blog de Blackberry.
Clop, que emplea estrategias de extorsión multinivel y una amplia gama de herramientas, ha sido clasificado por los analistas de amenazas de BlackBerry como de alto impacto y riesgo.
Cuando el ransomware Clop ataca, desactiva varios procesos de Windows y cifra los archivos relacionados utilizando sus funciones de sistema anti-análisis y anti-virtual. Antes de la operación de cifrado, también intenta desactivar programas antimalware como Windows Defender y Microsoft Security Essentials. Una vez cifrados los datos, las víctimas reciben una carta de rescate.
La capacidad del ransomware Clop para exfiltrar datos, poniendo a las víctimas en riesgo de doble extorsión, es uno de sus principales peligros. La organización puede utilizar la amenaza de vender datos específicos en la web oscura o exponerlos públicamente como influencia sobre su víctima si no se cumple la demanda de rescate.
ⓒ 2023 . .
