Como había amenazado anteriormente, el cártel de delitos cibernéticos Clop ha comenzado a nombrar públicamente a las víctimas supuestamente comprometidas a través de una falla de inyección SQL en el producto de transferencia de archivos administrado MOVEit de Progress Software, que se han resistido a su intento de extorsión.
Clop, que se cree que tiene su sede en Rusia, les dijo a los usuarios del producto MOVEit Transfer la semana pasada que tenían siete días para cumplir con sus demandas. Esta fecha límite venció ayer (14 de junio) y, fiel a su palabra, Clop comenzó a agregar los detalles de las nuevas víctimas, hasta un total de 12, a su sitio de fugas en la web oscura alrededor de las 6 p. m., hora del Reino Unido.
Entre el primer tramo de nombres se encuentran el gigante de los combustibles Shell, la Universidad de Georgia en EE. UU. y el fondo de inversión Putnam. También se incluyen varios bancos estadounidenses y organizaciones en los Países Bajos y Suiza.
Un portavoz de Shell confirmó que la organización se había visto afectada por el incidente. “Somos conscientes de un incidente de seguridad cibernética que ha afectado una herramienta de terceros de Progress llamada MOVEit Transfer, que es utilizada por una pequeña cantidad de empleados y clientes de Shell”, dijeron.
“No hay evidencia de impacto en los sistemas de TI centrales de Shell. Nuestros equipos de TI están investigando. No nos estamos comunicando con los piratas informáticos”.
Computer Weekly entiende que, a diferencia de otras organizaciones afectadas, Shell no se vio afectada a través de los sistemas de un proveedor o contratista externo.
Muchos más nombres por venir
No aparecen en el sitio de fugas de Clop, al momento de escribir este artículo, los nombres de varias víctimas conocidas de MOVEit, incluidas la BBC, Boots, British Airways, Ofcom y TfL.
Sin embargo, es importante tener en cuenta que debido a la gran cantidad de víctimas que probablemente se ha comprometido: más de 2,000 instancias de MOVEit Transfer estuvieron expuestas a la Internet pública la semana pasada, y la cifra no incluye a los clientes comprometidos de los propietarios de la instancia: Clop es probablemente tambaleando su lanzamiento.
Como tal, la no aparición de algunos nombres de alto perfil en esta etapa inicial no es una indicación de que las víctimas se hayan comprometido con Clop o hayan pagado un rescate, y no se debe inferir tal indicación.
El director de investigación de amenazas de la Unidad Contra Amenazas de Secureworks, Chris Yule, dijo que probablemente los ciberdelincuentes tardarían algún tiempo en acabar con las víctimas.
“Queda por ver si habrá un basurero o una alimentación por goteo, [but] las víctimas de GoAnywhere se publicaron en lotes durante un período de 14 días”, dijo Yule.
“Los primeros nombres que Clop ha publicado incluyen una serie de empresas de servicios financieros con sede en EE. UU. Si bien la carga acaba de comenzar, anticipamos que el resto de las víctimas probablemente se ubicarán en los EE. UU., ya que la mayoría de los servidores de MOVEit en Internet se ubicaron allí”.
Hüseyin Can Yuceel, investigador de amenazas de Picus Security, dijo que divulgar los detalles de sus víctimas más lentamente podría servir para presionar a otros a pagar un rescate, y estaba claro que Clop no había estado mintiendo con sus amenazas.
Lo que las víctimas deben hacer a continuación
Si bien hasta ahora no se ha ejecutado ningún casillero de ransomware en ninguno de los sistemas de las víctimas, esto es consistente con el modus operandi de Clop en tales situaciones, el libro de jugadas sobre cómo lidiar con un incidente de exfiltración y extorsión de datos es muy similar a una situación donde el cifrado de datos tiene lugar tomado.
“La prevención es siempre la prioridad número uno contra los ataques de ransomware. [Afterwards] no hay mucho que se pueda hacer”, dijo Can Yuceel.
“Incluso si existen copias de seguridad, los grupos de ransomware pueden liberar los datos confidenciales de sus víctimas y dañar su reputación. Los organismos encargados de hacer cumplir la ley aconsejan a las empresas que no paguen rescates porque es posible que los grupos de ransomware no entreguen la clave de descifrado después del pago. También existen otros riesgos con los pagos de rescate.
“Hemos observado que las organizaciones conocidas por pagar el rescate tienen muchas más probabilidades de ser atacadas por los mismos u otros grupos de ransomware en el futuro. Los pagos de rescate también pueden perpetuar la amenaza del ransomware y se utilizan para financiar otras actividades ilegales”.
Can Yuceel advirtió que para la creciente lista de víctimas del Reino Unido, que ahora también incluye a Adare SEC, un proveedor de servicios de comunicaciones de clientes especializado para el sector financiero y de seguros con clientes que incluyen Legal & General, AON y Allianz, debe tener especial cuidado al contratar o pagar un rescate debido a las estrictas normas financieras que rigen los pagos a las organizaciones criminales rusas.
“La Oficina de Implementación de Sanciones Financieras considera los pagos de rescate como un incumplimiento de las sanciones financieras, que es un delito penal grave y puede conllevar una pena privativa de libertad y la imposición de una sanción monetaria”, dijo.
“Por lo tanto, las víctimas en el Reino Unido deben informar el ataque al Centro Nacional de Seguridad Cibernética y solicitar apoyo para gestionar el incidente cibernético si es necesario”.