La fecha límite establecida por la pandilla de delitos cibernéticos Clop para las víctimas cuyos datos fueron exfiltrados en una violación masiva de la herramienta MOVEit Transfer de Progress Software para contactar a los delincuentes para negociar un rescate vence hoy (14 de junio).
La pandilla ha atacado a múltiples usuarios del producto de transferencia de archivos administrados MOVEit a través de una vulnerabilidad de inyección SQL desde finales de mayo, robando datos personales de cientos de miles de personas, muchas de ellas en el Reino Unido. No se sabe que haya ejecutado su casillero de ransomware en ninguno de los casos revelados públicamente, sino que tiene la intención de extorsionarlos para no publicar los datos robados.
Las víctimas conocidas en el Reino Unido incluyen la BBC, Boots, British Airways, EY y Ofcom. Muchas de estas organizaciones han sido atacadas a través de proveedores de TI externos y otros contratistas, en particular, el proveedor de software de nómina y recursos humanos Zellis. También se sabe que Extreme Networks ha sido atacado, pero por lo demás ha mantenido su silencio. Se han reportado muchas otras víctimas en Canadá, Irlanda, Malasia y los EE. UU.
En el momento de escribir este artículo, aún no se habían publicado datos, y el vicepresidente de SonicWall EMEA, Spencer Starkey, instó a las víctimas a mantenerse firmes frente a las amenazas y fanfarronadas de la pandilla.
“A medida que el reloj se acerca, las empresas afectadas por el ataque de MOVEit pueden verse tentadas a pagar a los piratas informáticos y seguir adelante. Si bien esta parece ser la forma más rápida de resolver esto, de hecho, alimenta al monstruo y fomenta más ataques”, dijo Starkey.
“Por otro lado, no pagar podría generar una posible pérdida de datos y el costo de restaurar los sistemas, pero también ayuda a acabar con estas operaciones delictivas y puede desalentar futuros ataques.
“En esta etapa, la clave es la comunicación con el cliente y el empleado. Las empresas afectadas siempre deben esforzarse por mantener esos canales fluyendo en ambos sentidos, para asegurar a quienes puedan verse afectados que están haciendo todo lo posible para recuperarse y resolver el incidente”, dijo.
Alex Hinchcliffe, analista de inteligencia de amenazas en la Unidad 42 de Palo Alto Networks, dijo que era probable que Clop cumpliera con sus amenazas si sus víctimas no cooperaban.
“Habiendo rastreado a este grupo desde 2021, sabemos que son extremadamente agresivos. Cuando las víctimas no pagan el rescate o ignoran las amenazas, sus datos confidenciales quedan expuestos públicamente. Los actores de amenazas detrás de Clop también aprovechan una variedad de técnicas de extorsión, como apuntar a las estaciones de trabajo de los altos ejecutivos, engañar a los empleados y anunciar sus infracciones a los periodistas”, dijo.
“Si bien la cantidad de servidores expuestos parece baja, el recuento actual de víctimas prestigiosas confirma cómo este grupo pasó de ransomware entregado a través de spam malicioso a ser utilizado en campañas dirigidas contra organizaciones de alto perfil”.
La lista de organizaciones del Reino Unido que han sufrido violaciones de datos a raíz del incidente de MOVEit continúa creciendo, con Transport for London (TfL) confirmado como víctima.
La organización, que opera servicios de autobús y metro en la capital, dijo que se vio comprometida a través de un contratista que usó el software MOVEit, aunque anteriormente se contaba entre los clientes de Progress.
Un portavoz de TfL le dijo a la BBC: “El problema se solucionó y los sistemas de TI se aseguraron. Los datos en cuestión no incluían detalles bancarios y estamos escribiendo a todos los involucrados para informarles sobre el incidente”.
Los que están siendo notificados comprenden aproximadamente 13,000 conductores cuyos datos estaban en poder del contratista no revelado en una base de datos de información sobre personas que habían pagado el cargo por congestión de Londres o para operar un vehículo más antiguo y más contaminante dentro de la Zona de Emisiones Ultra Bajas (ULEZ), una zona delimitada por las carreteras circulares norte y sur.
TfL también dijo que no se había comprometido ningún dato sobre ninguno de sus pasajeros, que realizan aproximadamente 2.500 millones de viajes cada año.