.
Clop, a equipe de ransomware que explorou extensivamente a vulnerabilidade do MOVEit para roubar dados corporativos, deu às vítimas um prazo de 14 de junho para pagar ou as informações roubadas vazarão.
Organizações como a British Airways, a BBC e a rede de farmácias Boots no Reino Unido tiveram seus registros de funcionários roubados pela gangue russa através da falha de software. Teme-se que milhares, senão dezenas de milhares de trabalhadores tenham suas informações pessoais roubadas.
Crucialmente, para roubar os dados, Clop explorou uma implantação do MOVEit usada pelo provedor de serviços de folha de pagamento Zellis; A British Airways e outros são clientes da Zellis, portanto, quando Clop invadiu os sistemas de TI da empresa de folha de pagamento, os criminosos conseguiram obter dados valiosos de funcionários pertencentes a várias organizações. Isso torna todo esse fiasco um ataque significativo à cadeia de suprimentos.
Enquanto isso, Toronto Instituto Michener disse que foi alvo de um “incidente de segurança cibernética”. Observador da Infosec Dominic Alvieri nomeado a escola como vítima do Clop, e acrescentou que os extorsionários mudaram o prazo de pagamento das vítimas de 12 para 14 de junho.
Além disso, a província canadense de nova Escócia disse hoje que sua autoridade de saúde e o Centro de Saúde IWK também foram atingidos pelo buraco MOVEit.
Para a Nova Escócia e todos os outros órgãos públicos nas garras da quadrilha de extorsão, Clop acrescentou um observação: “Se você é um serviço governamental, municipal ou policial, não se preocupe, nós apagamos todos os seus dados.”
Entendemos que isso significa que a equipe excluiu suas cópias dos dados roubados. Claro, não é preciso dizer: eles são criminosos, então acreditar na palavra deles não é uma boa ideia.
Desenvolvido pela Progress Software, o MOVEit é um conjunto de aplicativos cliente e software do lado do servidor usado na área de saúde para finanças e deve facilitar o compartilhamento de documentos e o upload de arquivos pelos colegas. Uma vulnerabilidade crítica em uma parte do código voltada para a Web veio à tona na última quinta-feira; a falha pode ser explorada para assumir o controle de uma implantação do MOVEit, roubar seus dados e cometer outros delitos. Basta um ladrão conseguir acessar uma instalação do MOVEit Transfer pela rede ou internet, e saber como abusar do bug de segurança.
Quase imediatamente, os pesquisadores de segurança começaram a alertar que os criminosos estavam exploração em massa Vulnerabilidade de injeção SQL do MOVEit por pelo menos um mês para invadir ambientes de TI e exfiltrar documentos. Na época, o bug não tinha patch ou CVE.
Agora é rastreado como CVE-2023-34362e o desenvolvedor do aplicativo, Progress corrigiu a falha na sexta.
No fim de semana, a Microsoft culpou clop pelas tentativas de extorsão, e os próprios meliantes confirmado à Reuters, eles foram os responsáveis pelas violações de segurança: “Foi nosso ataque”, e as vítimas que se recusaram a pagar seriam nomeadas no site da gangue. O grupo não respondeu imediatamente a um pedido de mais detalhes.
Também hoje, o FBI e a CISA divulgaram um assessoria conjunta sobre o Clop em resposta à exploração, fornecendo indicadores de comprometimento e mitigações que as organizações podem implementar para limitar qualquer dano causado por invasões.
“Os aplicativos da web MOVEit Transfer voltados para a Internet foram infectados com um shell da web chamado LEMURLOOT, que foi usado para roubar dados dos bancos de dados MOVEit Transfer subjacentes”, explicaram os federais.
Na semana passada, o Rapid7 disse que detectou cerca de 2.500 instâncias do MOVEit Transfer expostos à Internet pública, a maioria dos quais pertencentes a clientes dos EUA.
A Progress Software reivindicou sua base de clientes abrange “milhares de empresas, incluindo 1.700 empresas de software e 3,5 milhões de desenvolvedores”. Não respondeu a Strong The Onesobre quantos clientes provavelmente foram afetados pela falha e quantos foram comprometidos. ®
.
