.
As consequências dramáticas continuam na exploração em massa de uma vulnerabilidade crítica em um programa de transferência de arquivos amplamente utilizado, com pelo menos três novas vítimas surgindo nos últimos dias. Eles incluem o Departamento de Educação da cidade de Nova York e as empresas de energia Schneider Electric e Siemens Electric.
Até o momento, a onda de hackers parece ter violado 122 organizações e obtido os dados de cerca de 15 milhões de pessoas, com base em postagens que o grupo criminoso publicou ou revelações de vítimas, disse Brett Callow, analista de ameaças da empresa de antivírus Emsisoft, em entrevista. .
A Microsoft vinculou os ataques ao Clop, um sindicato de ransomware de língua russa. Os hacks são todos resultado da exploração do Clop do que era uma vulnerabilidade de dia zero no MOVEit, um serviço de transferência de arquivos disponível tanto na nuvem quanto no local.
Os primeiros sinais da onda de exploração ocorreram em 27 de maio. Quatro dias depois, o provedor MOVEit, Progress, corrigiu a vulnerabilidade, que é rastreada como CVE-2023-34362. O dia zero resultou de uma injeção de SQL. Estas estão entre as formas mais antigas de vulnerabilidade e são o resultado de más práticas de codificação que podem ser evitadas. Mesmo depois que a Progress emitiu a correção, alguns usuários do MOVEit continuaram sendo hackeados porque ainda não o haviam instalado em suas redes.
Entre as primeiras vítimas confirmadas estavam o serviço de folha de pagamento Zellis e a província canadense de Nova Escócia. Sabe-se que os clientes da Zellis, British Airways, BBC, Aer Lingus, HSE da Irlanda e varejista do Reino Unido Boots, tiveram seus dados roubados por meio da violação do serviço de folha de pagamento. Outras vítimas logo vieram à tona, incluindo duas entidades do Departamento de Energia, os estados americanos de Missouri e Illinois, o American Board of Education Extreme Networks e a Ofcam.
Dados de carteira de motorista de milhões de cidadãos de Oregon e Louisiana também foram roubados nos ataques. A CNN informou que o Departamento de Agricultura também pode ser afetado.
Sapatos continuam caindo
Na terça-feira, o site Clop nomeou a Siemens Electric como outra vítima e, pouco depois disso, foi amplamente divulgado que funcionários da empresa confirmaram que seus sistemas haviam sido violados na campanha Clop.
“Com base na análise atual, nenhum dado crítico foi comprometido e nossas operações não foram afetadas”, disse um representante da Siemens Electric a agências de notícias, incluindo a Cyberscoop. “Tomamos medidas imediatas quando soubemos do incidente.” As tentativas da Ars de entrar em contato com a Siemens Electric não tiveram sucesso.
Clop nomeou a Schneider Electric como outra vítima. Em um e-mail, um funcionário da Schneider Electric escreveu: “Em 30 de maio de 2023, a Schneider Electric tomou conhecimento das vulnerabilidades que afetam o software Progress MOVEit Transfer. Implantamos prontamente as mitigações disponíveis para proteger os dados e a infraestrutura e continuamos monitorando a situação de perto.”
Na noite de sábado, o chefe do Departamento de Educação da cidade de Nova York se apresentou para dizer que também havia sido atingido na campanha de Clop.
“A revisão dos arquivos afetados está em andamento, mas os resultados preliminares indicam que aproximadamente 45.000 alunos, além da equipe do DOE e prestadores de serviços relacionados, foram afetados”, escreveu Emma Vadehra, diretora de operações do departamento. “Cerca de 19 mil documentos foram acessados sem autorização. Os tipos de dados afetados incluem números de seguridade social e números de identificação de funcionários (não necessariamente para todos os indivíduos afetados; por exemplo, foram incluídos aproximadamente 9.000 números de seguridade social).”
Clop é um grupo de língua russa que está entre os agentes de ransomware mais prolíficos e ativos. O agente da ameaça recentemente explorou em massa o CVE-2023-0669, uma vulnerabilidade crítica em um serviço diferente de transferência de arquivos conhecido como GoAnywhere. Essa onda de hackers também reivindicou mais de 100 organizações, incluindo a empresa de segurança de dados Rubrik e a Community Health Systems de Franklin, Tennessee. O hack do Community Health Systems, uma das maiores redes hospitalares, permitiu que Clop obtivesse informações de saúde de 1 milhão de pacientes.
.
