Dieciocho meses después de un importante incidente cibernético en el que cientos de organizaciones fueron víctimas de una banda de ransomware que aprovechó una vulnerabilidad de inyección SQL de día cero en el producto de transferencia de archivos MOVEit Transfer de Progress Software, han salido a la luz múltiples víctimas nuevas, incluido el gigante tecnológico Amazon, que ha confirmado que se han filtrado datos sobre más de dos millones de sus empleados.
CVE-2023-34362 es una vulnerabilidad crítica de inyección SQL de día cero en la herramienta MOVEit Transfer, que fue parcheada a fines de mayo de 2023, pero desafortunadamente no antes de que la operación de ransomware Cl0p/Clop pudiera usarla para orquestar una violación masiva. de organizaciones a nivel mundial.
Las víctimas en el Reino Unido incluyeron a la BBC, Boots y British Airways, todas las cuales se vieron comprometidas a través del especialista en TI de nóminas y recursos humanos, Zellis.
Esta semana, investigadores de Hudson Rock publicaron detalles de una importante filtración de datos que afecta al menos a 25 organizaciones, orquestada por un actor que utiliza el identificador Nam3L3ss, quien los publicó en un foro clandestino de ciberdelincuentes en formato CSV.
Según Alon Gal de Hudson Rock, los datos incluyen registros de empleados de grandes empresas como HP, HSBC, Lenovo, Omnicom, Urban Outfitters, British Telecom y McDonalds, pero, con diferencia, el mayor tramo de datos (un total de más de 2,8 millones de registros) ha venido de Amazon.
Gal dijo que el conjunto de datos incluía información de contacto y datos sobre roles organizacionales y asignaciones departamentales dentro de Amazon, lo que podría poner a los empleados en riesgo de ingeniería social y ataques de phishing personalizados.
“Los investigadores de Hudson Rock pudieron verificar la autenticidad de los datos cruzando los correos electrónicos de las filtraciones con los perfiles de los empleados en Linkedin y con los correos electrónicos encontrados en infecciones de robo de información en las que estaban involucrados empleados de las empresas afectadas”, escribió Gal.
En un comunicado distribuido a los medios, el gerente senior de relaciones públicas de Amazon, Adam Montgomery, confirmó la veracidad de la violación.
“Nos notificaron sobre un evento de seguridad en uno de nuestros proveedores de administración de propiedades que afectó a varios de sus clientes, incluido Amazon. La única información de Amazon involucrada fue la información de contacto laboral de los empleados, por ejemplo, direcciones de correo electrónico del trabajo, números de teléfono de escritorio y ubicaciones de los edificios”, dijo Montgomery.
“Los sistemas de Amazon y AWS siguen siendo seguros y no hemos experimentado ningún evento de seguridad”, dijo.
Amazon no nombró la organización a través de la cual se vio afectada.
¿Enlace a Cl0p?
En capturas de pantalla de publicaciones realizadas por Nam3Less, compartidas con Computer Weekly por investigadores de Searchlight Cyber, el actor afirmó que no era un hacker ni estaba afiliado a ningún grupo de ransomware. También dijeron que no compraron ni vendieron datos, sino que monitorearon la web oscura y otros servicios expuestos, incluidos AWS Buckets, Azure Blobs, servidores MongoDB y similares.
“Si una empresa o agencia gubernamental es lo suficientemente estúpida como para no cifrar sus datos durante las transferencias o si un administrador es demasiado estúpido o demasiado vago para proteger con contraseña su almacenamiento en línea que tiene en su poder”, dijo Nam3L3ss. “El mundo debería saber exactamente qué están filtrando estas empresas y agencias gubernamentales”.
No está claro y aún no se ha confirmado si Nam3L3ss tiene algún vínculo con la banda de ransomware Cl0p. A pesar de sus propias afirmaciones, las declaraciones de los actores de amenazas siempre deben ser tratadas con escepticismo. Nam3L3ss podría fácilmente ser un afiliado o asociado de la pandilla, pero es igualmente posible que hayan obtenido los datos por otros medios.
“El actor Nam3L3ss afirma que no es un hacker y que sólo comparte datos que ha descargado de otras fuentes. Como se puede ver en la declaración que compartieron en BreachForums el martes 12 de noviembre de 2024, afirman que no están motivados por ganancias financieras, sino por el deseo de responsabilizar a los gobiernos y las corporaciones por la protección de los datos de los ciudadanos”, dijo el analista de inteligencia de amenazas de Searchlight. Vlad Mironescu.
“Una fuente de datos que el actor utiliza habitualmente es la información publicada en sitios de fuga de ransomware. Por ejemplo, muchos de los datos que comparte Nam3L3ss, incluido este Amazonas datos, parece provenir de víctimas de los ataques MOVEit del año pasado, que fueron orquestados por el grupo de ransomware Cl0p. Nam3L3ss no parece estar asociado con Cl0p ni con ningún grupo de ransomware, sino que simplemente comparte los datos que han encontrado”.
Mironescu continuó: “Es cierto que el actor no vende estos datos, los publica de forma gratuita o para obtener créditos en los foros. Sin embargo, eso no significa que no se haya causado daño; publicar los datos de forma gratuita en BreachForums los pondrá en manos de una gran cantidad de piratas informáticos que podrían utilizarlos para una amplia variedad de propósitos nefastos”.
Red oscura
Kevin Robertson, director de operaciones de Acumen Cyber, dijo: “Esta filtración muestra cómo los datos se abren paso a través de la web oscura, a menudo reapareciendo en las noticias mucho después de que se produjeron las filtraciones y, a menudo, en manos de otros atacantes.
“La violación de MOVEit dominó los titulares el año pasado después de afectar a miles de organizaciones y los datos de miles de millones de personas. Fue uno de los primeros ejemplos de un ataque a la cadena de suministro global que se hizo tan grande que incluso sus perpetradores, Cl0p, tuvieron dificultades para ingerir el volumen de datos comprometidos.
“El ataque no ha tenido este año la cobertura mediática que recibió el año pasado, pero esta última actualización muestra que los atacantes continúan monetizando los datos. No se cree que Nam3L3ss sea parte del ataque inicial de MOVEit, pero algunos de sus datos han llegado a sus manos, lo que proporciona evidencia de cómo se comercializan los datos robados en la web oscura”, dijo.