La pandilla de extorsión cibernética Clop (también conocida como Cl0p) ha confirmado que está detrás de una serie de importantes violaciones de seguridad en organizaciones comprometidas a través de una vulnerabilidad de inyección SQL en el producto de transferencia de archivos MOVEit de Progress Software, y amenaza con comenzar a publicar los datos que ha robado en siete días. ‘ tiempo.
Entre las organizaciones chantajeadas por los ciberdelincuentes con sede en Rusia se encuentran la BBC, Boots y British Airways (BA), todas las cuales parecen haber sido víctimas a través del usuario de MOVEit Zellis, un proveedor de software y servicios de nómina y recursos humanos. Se cree que se robaron los datos de más de 100 000 empleados individuales en las tres organizaciones.
Otras víctimas conocidas comprometidas a través de Zellis incluyen la Universidad de Rochester en el estado de Nueva York y el gobierno provincial de Nueva Escocia en Canadá.
En una declaración publicada en su sitio de filtraciones de la web oscura, que ha sido revisada por Computer Weekly, los operativos de Clop, que continúan trabajando bajo la ilusión de que están brindando servicios de pruebas de penetración, afirmaron que la pandilla había robado datos de cientos de empresas.
“Este es un anuncio para educar a las empresas que usan el producto Progress MOVEit de que es probable que descarguemos una gran cantidad de sus datos como parte de un exploit excepcional. Somos los únicos que realizamos tal ataque y nos relajamos porque sus datos están seguros”, escribió el operativo.
La pandilla Clop les está dando a las víctimas hasta el miércoles 14 de junio para contactarlas o, de lo contrario, publicarán sus detalles y datos en su sitio de fugas. Como se ha convertido en una práctica estándar en las negociaciones de rescate cibernético, ofrece a las víctimas la oportunidad de revisar una pequeña selección del material robado como prueba de sus intenciones.
El operativo agregó que había borrado todos los datos obtenidos de los gobiernos, las autoridades de la ciudad y las fuerzas del orden, lo que implica que algunas de esas organizaciones estaban comprometidas.
Un portavoz de la BBC dijo: “Somos conscientes de una violación de datos en nuestro proveedor externo, Zellis, y estamos trabajando en estrecha colaboración con ellos mientras investigan con urgencia el alcance de la violación. Nos tomamos la seguridad de los datos muy en serio y estamos siguiendo los procedimientos de información establecidos”.
Computer Weekly se puso en contacto con BA y Boots en relación con los últimos desarrollos, pero ninguna de las organizaciones había respondido en el momento de la publicación.
Próximos pasos para los usuarios de MOVEit
Jim Tiller, CISO de Nash Squared, un proveedor global de tecnología y talento, dijo que cualquier organización que haya usado MOVEit ahora debe asumir que sus datos, o los datos de sus clientes, están ahora en manos de Clop.
“Estas organizaciones necesitan revisar y categorizar urgentemente todos sus activos de información que probablemente hayan sido robados para comprender qué representa la mayor amenaza de extorsión y priorizar en consecuencia”, dijo Tiller.
“A partir de ahí se trata de evaluar los riesgos asociados a la exposición de la información, no solo a la empresa sino a sus clientes, socios, afiliados y con quienes se intercambió información. Sin estos pasos críticos, responder a las demandas de rescate y determinar un curso de acción será reactivo e ineficaz”.
Tiller también explicó que las organizaciones tendrían que aceptar el hecho de que varias organizaciones podrían ser explotadas por los mismos datos, por lo que incluso si una víctima paga, su información aún puede filtrarse si otra parte se resiste a las demandas de Clop.
Dijo que, lamentablemente, este era uno de los riesgos inherentes de un entorno de nube de múltiples inquilinos, y también puede significar que los pagos no estarían cubiertos por las pólizas de seguro cibernético.
“Muchas aseguradoras tendrán cláusulas que son muy similares a actos de Dios o eventos masivos que excluyen tales ataques de la cobertura. Por lo tanto, si las empresas aún no han revisado su política con su proveedor, deben hacerlo lo antes posible”, dijo Tiller.
Jake Moore, asesor global de seguridad cibernética de ESET, agregó: “Aunque nunca se recomienda pagar demandas de rescate a los ciberdelincuentes, existe el riesgo inevitable de que algunas de las empresas objetivo sucumban a la presión. Esto solo alimentará el fuego y continuará el ciclo de este devastador grupo criminal.
“Es más importante que las empresas afectadas sean abiertas y honestas con sus empleados y clientes ofreciendo apoyo sobre cómo protegerse y cómo detectar ataques de phishing y smishing de seguimiento”.
Rescates sin ransomware
Como se informó anteriormente, es poco probable que la naturaleza de la vulnerabilidad de MOVEit que explotó Clop (CVE-2023-34362) brinde suficiente acceso para implementar un casillero de ransomware real, y no hay evidencia de que alguna de las víctimas conocidas haya tenido sus sistemas encriptados.
Esto convierte el incidente en un caso de extorsión y robo de datos directo, algo que se está volviendo cada vez más común y una táctica favorecida por Clop durante sus juergas delictivas anteriores.
Moore dijo que el enfoque adoptado por Clop esta vez se desvió aún más de la norma porque, por lo general, enviaría a sus víctimas demandas de rescate con una cantidad predeterminada elegida por ellos. Esto no ha sucedido en este caso.
“Es probable que esta decisión se deba a la abrumadora magnitud del hackeo en curso que aún afecta a una gran cantidad de sistemas en todo el mundo y potencialmente supera las capacidades de Clop”, dijo.