.
Mais duas organizações atingidas na exploração em massa da ferramenta de transferência de arquivos MOVEit foram nomeadas – o Departamento de Educação de Minnesota nos EUA e o regulador de telecomunicações do Reino Unido, Ofcom – apenas alguns dias depois que pesquisadores de segurança descobriram falhas adicionais no conjunto de bugs da Progress Software.
A Ofcom divulgou esta semana que está entre as empresas e órgãos públicos que tiveram seus dados internos roubado por bandidos que exploram uma falha do MOVEit. A equipe de ransomware Clop da Rússia desde então reivindicado ele tem abusado da vulnerabilidade nas implantações do MOVEit para roubar documentos e exigir pagamento para não vazar as informações.
“Uma quantidade limitada de informações sobre certas empresas que regulamos – algumas delas confidenciais – juntamente com dados pessoais de 412 funcionários da Ofcom, foi baixada durante o ataque”, revelou a Ofcom em um declaração ontem.
O órgão de vigilância disse que tomou “ações imediatas” para remediar o problema e reforçar sua segurança.
“Também alertamos rapidamente todas as empresas reguladas pela Ofcom afetadas e continuamos a oferecer suporte e assistência aos nossos colegas”, acrescentou o regulador. “Nenhum sistema Ofcom foi comprometido durante o ataque.”
Um porta-voz da Ofcom se recusou a responder a quaisquer perguntas adicionais sobre o ataque – incluindo quais dados específicos foram roubados, quem é o responsável pelo ataque e se a invasão ocorreu em uma instância MOVEit administrada pela Ofcom ou em terceiros (como folha de pagamento e provedor de serviços de recursos humanos Zellis).
É assim que a transparência se parece
Enquanto isso, o Departamento de Educação de Minnesota (MDE) forneceu substancialmente mais detalhes sobre o que aconteceu durante o roubo de seus dados.
A agência estatal disse que a Progress Software a alertou sobre a vulnerabilidade de segurança em 31 de maio e, no mesmo dia, “uma entidade externa” acessou 24 arquivos MDE em um servidor MOVEit.
MDEs aviso de violação de dadospublicado na sexta-feira, disse que os arquivos comprometidos incluíam “dados transferidos para MDE do Departamento de Serviços Humanos de Minnesota (DHS) para atender aos requisitos de relatórios estaduais e federais, bem como arquivos de dois distritos escolares (Minneapolis e Perham) e Hennepin Technical Faculdade.”
As informações continham cerca de “95.000 nomes de alunos colocados em lares adotivos em todo o estado, 124 alunos no Distrito Escolar de Perham que se qualificaram para Transferência Eletrônica de Benefícios Pandêmicos (P-EBT), 29 alunos que estavam tendo aulas de PSEO no Hennepin Technical College em Minneapolis , e cinco alunos que pegaram uma determinada rota de ônibus das Escolas Públicas de Minneapolis.”
Os arquivos dos alunos do orfanato incluíam seus nomes, datas de nascimento e município de colocação.
Além disso, os arquivos P-EBT e PSEO continham nomes de alunos, datas de nascimento, alguns endereços residenciais e nomes dos pais ou responsáveis. Os dados dos participantes do PSEO também incluíam as informações do histórico escolar e da faculdade e os últimos quatro dígitos do número do seguro social do aluno.
Os arquivos relacionados à rota do ônibus das Escolas Públicas de Minneapolis incluíam apenas os nomes das cinco crianças.
MDE: ‘Nenhuma informação financeira roubada’ – então está tudo bem
“Nenhuma informação financeira foi incluída em nenhum dos arquivos nesta violação de dados”, acrescentou o comunicado do departamento. “A MDE está atualmente trabalhando para notificar os indivíduos cujos dados foram acessados. Até o momento, não houve pedidos de resgate nem a MDE está ciente de que os dados foram compartilhados ou publicados online.”
Os criminosos não carregaram nenhum malware nos sistemas da MDE durante a violação, então acredita-se. E ao descobrir a invasão, o estado notificou o FBI, o Bureau de Apreensão Criminal de Minnesota e o Gabinete do Auditor Legislativo sobre a situação.
“Embora nenhuma informação financeira tenha sido acessada, a MDE recomenda que os indivíduos que possam ter sido afetados tomem medidas de precaução para se proteger, como acessar e monitorar seus relatórios de crédito pessoal”, continuou o comunicado.
Embora as informações dos alunos de Minnesota não tenham sido postadas no site de vazamento de Clop, a gangue também não exigiu resgate da agência estadual. O diretor de comunicações da MDE, Kevin Burns, disse Strong The One que o departamento acredita que o ataque explorou a vulnerabilidade inicial do MOVEit, CVE-2023-34362que o Progress corrigiu em 31 de maio.
“Não fomos contatados pelas pessoas que fizeram isso, mas nossa suposição é que isso foi parte das maiores ocorrências globais que aconteceram naquele mesmo dia”, disse Burns.
A lista de vítimas provavelmente ficará mais longa, como na sexta-feira pesquisadores de segurança descobriram mais vulnerabilidades do MOVEit.
Progresso disse essa descoberta foi feita pela empresa de segurança cibernética Huntress, contratada para realizar uma revisão detalhada de seu código. A partir de segunda-feira, pelo menos um deles tem um número CVE: CVE-2023-35036.
“Um invasor pode enviar uma carga útil criada para um endpoint de aplicativo MOVEit Transfer que pode resultar na modificação e divulgação do conteúdo do banco de dados MOVEit”, de acordo com a descrição MITRE do novo CVE.
Desde então, o progresso corrigiu o CVE-2023-35036.
Enquanto a investigação sobre ambos – e possivelmente vulnerabilidades adicionais do MOVEit – continua em andamento, a Progress disse que não viu nenhuma indicação de que os novos bugs tenham sido encontrados e explorados por criminosos.
Também na sexta-feira, a empresa de análise de risco Kroll disse que Clop provavelmente sabia sobre o bug já em 2021. ®
.
