Hitachi Energy, la multimillonaria división de energía y soluciones energéticas del conglomerado japonés Hitachi, ha confirmado que el cártel de ransomware Clop (también conocido como Cl0p) accedió a algunos datos de los empleados en un ataque a sus sistemas que se originó a través de una vulnerabilidad en la transferencia de archivos gestionada de Fortra. producto GoAnywhere.
Hitachi no reveló qué datos se vieron afectados en el incidente, o si entró o no en alguna forma de negociación con la pandilla Clop, aunque los ciberdelincuentes agregaron sus detalles a su sitio de filtración de la web oscura, con la amenaza implícita de que filtrará sus datos pronto si no coopera.
“Al enterarnos de este evento, tomamos medidas inmediatas e iniciamos nuestra propia investigación, desconectamos el sistema de terceros y contratamos a expertos forenses de TI para ayudarnos a analizar la naturaleza y el alcance del ataque”, dijo un portavoz de Hitachi.
“Los empleados que pueden verse afectados han sido informados y estamos brindando apoyo. También notificamos a las autoridades de privacidad de datos, seguridad y aplicación de la ley correspondientes y continuamos cooperando con las partes interesadas relevantes.
“Según nuestra información más reciente, nuestras operaciones de red o la seguridad de los datos de los clientes no se han visto comprometidas. Continuaremos actualizando a las partes relevantes a medida que avanza la investigación”.
La divulgación significa que Hitachi Energy se une a una lista creciente de más de 100 víctimas que Clop afirma haber golpeado a través de la vulnerabilidad Fortra GoAnywhere.
La vulnerabilidad en sí, que se rastrea como CVE-2023-0669, permite la ejecución remota de código (RCE) dentro de GoAnywhere, y aunque se reveló y parchó hace más de un mes, la operación Clop pudo aprovecharla para comprometer una letanía. de nuevas víctimas.
Entre los que ya se han presentado está el proveedor de soluciones de almacenamiento y seguridad Rubrik, que también ha sido incluido en la lista y amenazado en el sitio de fugas de Clop.
En el incidente de Rubrik, la pandilla parece haber obtenido acceso a una cantidad limitada de datos almacenados en un entorno de prueba de TI que no es de producción y a algunos datos de ventas de clientes y socios, pero no a ningún dato que Rubrik asegure en nombre de sus clientes.
Otras organizaciones agregadas recientemente al sitio de la fuga de Clop incluyen al gigante de los combustibles fósiles Shell y al fabricante de aviación Bombardier, aunque no está claro si se vieron comprometidas o no a través del error de Fortra.
Tenga en cuenta que Bombardier fue víctima de Clop anteriormente en 2021, cuando la pandilla lo atacó a través de otra aplicación de transferencia de archivos comprometida ejecutada por Accellion.
Prolífica familia de ransomware
Como demuestra el número de víctimas nuevas (o repetidas) nombradas por Clop, la pandilla sigue siendo un operador muy prolífico a pesar de las acciones policiales, que cortaron las alas de Clop en 2021.
La pandilla ha existido durante aproximadamente cuatro años en este punto y, a fines de 2021, se pensaba que había ganado más de 500 millones de dólares en pagos de rescate.
La pandilla de habla rusa se ejecuta sobre la base de ransomware como servicio, lo que significa que es utilizado por múltiples afiliados conectados asignados múltiples designaciones por varios investigadores, quizás el más significativo es el grupo rastreado por Mandiant de Google como FIN11.
El casillero Clop evolucionó primero como una variante de la familia de ransomware CryptoMix, y se llama así porque agrega la extensión Cl0p a los archivos que encripta.
Según Trend Micro, se dirige a toda la red de la víctima en lugar de a las máquinas individuales al acceder al servidor de Active Directory antes de la ejecución para determinar la Política de grupo del sistema, lo que le permite persistir en los puntos finales de la víctima incluso después de que supuestamente hayan sido desinfectados.
Aunque los afiliados de Clop se han hecho famosos por su explotación de las vulnerabilidades de transferencia de archivos, se ha observado con mayor frecuencia que el casillero se distribuye como parte de una campaña de phishing.
Más recientemente, SentinelLabs de SentinelOne informó que había encontrado la primera variante de Clop dirigida a Linux en la naturaleza. Sin embargo, en la actualidad, esta variante parece estar en desarrollo, ya que su ejecutable contiene un algoritmo de cifrado defectuoso que hace que el descifrado sea un juego de niños. Se puede encontrar un descifrador para la variante de Linux en GitHub.