.
O número de vítimas e custos vinculados ao hack de transferência de arquivos MOVEit continua a subir à medida que as consequências do ataque massivo à cadeia de suprimentos entram na semana sete.
No final de maio, a gangue russa de ransomware Clop explorou uma falha de segurança no conjunto de produtos MOVEit da Progress Software para roubar documentos de redes vulneráveis.
A partir de hoje, o número de organizações afetadas está fechando em 400 e inclui alguns nomes realmente grandes: o Departamento de Energia dos EUA e outras agências federais, bem como grandes corporações como empresa de energia Shell, Banco alemãoempresa de consultoria e serviços empresariais PwCe a gigante do varejo TJX Companies, que confirmou ao Strong The One na quarta-feira que “alguns arquivos foram baixados por terceiros não autorizados antes que a Progress nos notificasse sobre a vulnerabilidade”.
A TJX possui várias marcas de varejo, incluindo TJ Maxx, Marshalls, HomeGoods, HomeSense e Sierra.
Apesar de ser uma das empresas comprometidas, o porta-voz da TJX acrescentou: “Não acreditamos que tenha havido acesso não autorizado a qualquer cliente ou informação pessoal associada nos sistemas da TJX ou qualquer impacto material para a TJX”.
Além disso, está se parecendo com a Estée Lauder Companies, que possui mais de 20 marcas de beleza e divulgou um “incidente de segurança cibernética” no mesmo dia que Clop listado a empresa em seu site de vazamento, pode estar entre as vítimas também.
A partir de 19 de julho, 383 organizações e mais de 20 milhões de indivíduos foram comprometidos, de acordo com a empresa de segurança cibernética Emsisoft, que obteve seus números de notificações de violação, registros da SEC, outros dados públicos e o site de vazamento de Clop.
Mas, como observa a equipe de infosec, algumas das empresas cujas instalações do MOVEit foram violadas fornecem serviços para muitas outras organizações.
Esse impacto de um para muitos é algo muito atraente para os hackers, e é isso que torna as ameaças à cadeia de suprimentos tão sinistras.
Caso em questão: Clop explorou uma implantação do MOVEit usado pelo provedor de serviços de folha de pagamento Zellis, cujos clientes incluem a British Airways, a BBC e a cadeia de farmácias Boots no Reino Unido, entre outros, e como resultado, todas essas empresas viram seus registros de funcionários roubados pela gangue russa através da falha de software.
E, como relata a Emsisoft, outro usuário do MOVEit – o National Student Clearinghouse – tem parceria com mais de 3.500 escolas nos EUA e processa informações pertencentes a 17,1 milhões de alunos.
Portanto, é provável que o número total de vítimas continue crescendo.
“Embora isso possa não estar no mesmo nível do incidente SolarWinds, é um dos hacks mais significativos dos últimos anos”, disse Brett Callow, analista de ameaças da Emsisoft. Strong The One. “Os custos serão absolutamente enormes, incluindo monitoramento de crédito de milhões e ações judiciais fora do comum.”
Progress Software está enfrentando vários processos alegar falta de segurança levou ao bug do MOVEit – pelo menos 13de acordo com Jornal de Wall Street.
“Para piorar a situação, o potencial de uso indevido das informações roubadas é significativo”, acrescentou Emsisoft. “E não é apenas como o Cl0p pode fazer uso indevido das informações que é uma preocupação. Uma vez que é lançado online, torna-se disponível para a comunidade global de criminosos cibernéticos para uso em esquemas BEC, fraude de identidade, etc.”
A Progress Software se recusou a comentar quantas organizações foram afetadas pelos bugs do MOVEit.
“Continuamos focados em apoiar nossos clientes e este relatório sugere que atualizações frequentes e transparentes foram úteis para encorajar os clientes a aplicar rapidamente as correções que lançamos”, disse um porta-voz Strong The One. “Continuamos a trabalhar com os principais especialistas em segurança cibernética do setor para investigar o problema e garantir que tomemos as medidas de resposta apropriadas”.
O porta-voz acrescentou: “Até onde sabemos neste momento, nenhuma das vulnerabilidades descobertas após o vulnerabilidade de 31 de maio foram ativamente explorados”.
E houve outros desde o final daquele mês.
Uma linha do tempo muito bugada
O bug de 31 de maio – uma vulnerabilidade de injeção de SQL – foi o primeiro. O progresso corrigiu este, rastreado como CVE-2023-34362, no dia seguinte. A segundo erroCVE-2023-35036, veio à tona em 9 de junho e também foi corrigido no dia seguinte.
O progresso divulgou um terceiro buracoCVE-2023-35708, em 15 de junho.
Finalmente (esperamos), três vulnerabilidades adicionais – CVE-2023-36934, CVE-2023-36932 e CVE-2023-36933 – foram detectados e corrigidos em 5 de julho.
Apesar da crescente contagem de vítimas, as organizações vulneráveis estão fazendo um trabalho decente na correção de bugs do MOVEit, de acordo com a Bitsight, empresa de classificação de segurança cibernética.
Desde a divulgação de 31 de maio, “o número de organizações vulneráveis ao CVE-2023-34362 caiu tanto que pelo menos 77% das organizações originalmente afetadas não são mais vulneráveis”, disse Noah Stone, pesquisador da Bitsight. escreveu em um blog de quinta-feira. “No máximo 23 por cento das organizações inicialmente afetadas ainda são vulneráveis, enquanto as taxas mais altas de vulnerabilidade existem entre os CVEs posteriores.”
Talvez sem surpresa, mais organizações ainda estão vulneráveis aos três bugs mais recentes divulgados no início deste mês.
“No máximo 56% das organizações originalmente afetadas pela mais nova coleção de CVEs … permanecem vulneráveis”, disse Stone.
Os caçadores de ameaças da Huntress descobriram o segundo bug do MOVEit, e o pesquisador sênior de segurança da empresa, John Hammond, diz que esses tipos de ataques à cadeia de suprimentos são cada vez mais atraentes para os criminosos porque oferecem mais retorno para o investimento.
“Seja ou não ataques como este exemplo do MOVEit Transfer, ou mesmo invasões de alto impacto como o incidente do ransomware Kaseya VSA ou a exploração SolarWinds, todos esses ataques têm um certo aspecto da cadeia de suprimentos que expande absolutamente o número potencial de vítimas, sangrando nas organizações downstream e no relacionamento fornecedor/cliente”, disse Hammond Strong The One.
“Esse impacto de um para muitos é algo muito atraente para os hackers, e é isso que torna as ameaças à cadeia de suprimentos tão sinistras”.
No entanto, ele acrescentou, esses tipos de invasões significam que “os agentes de ameaças só podem jogar essa carta uma vez para cada ataque. Depois que as vítimas a jusante são comprometidas, o poço seca e os adversários precisam passar para o próximo ataque”. ®
.
