Aunque gran parte del pánico inicial que rodeó la violación de la herramienta de transferencia de archivos MOVEit de Progress Software a fines de mayo ha disminuido, Clop, la operación de ransomware detrás del ataque, continúa filtrando detalles de las víctimas. De manera pertinente para los equipos de seguridad en primera línea, Progress continúa revelando más vulnerabilidades en el producto, algunas de las cuales parecen estar bajo explotación activa.
El 6 de julio, Progress lanzó el primero de una serie planificada de paquetes de servicios para MOVEit Transfer y MOVEit Automation, diseñados para proporcionar un “proceso predecible, simple y transparente para soluciones de seguridad y productos”.
El paquete contiene correcciones para tres CVE recientemente revelados. En orden numérico, estos son:
CVE-2023-36932, múltiples vulnerabilidades de inyección SQL en la aplicación web MOVEit Transfer que podrían permitir que un atacante autenticado acceda a la base de datos de MOVEit Transfer, acreditadas a cchav3z de HackerOne, Nicolas Zillo de CrowdStrike y hoangha2, hoangnx y duongdpt (Q5Ca) de VCSLAB de Viettel Cyber Security;
CVE-2023-36933, una vulnerabilidad que permite a un atacante invocar un método que da como resultado una excepción no controlada, lo que hace que MOVEit Transfer se cierre inesperadamente, acreditado a jameshorseman de HackerOne;
CVE-2023-36934, otra vulnerabilidad de inyección SQL con un impacto similar al primero, acreditada a Guy Lederfein de Trend Micro a través de Zero Day Initiative.
Christopher Budd, director de investigación de amenazas de Sophos X-Ops, dijo que Sophos lanzó detecciones de firmas del sistema de prevención de intrusiones (IPS) para sus productos a principios de esta semana, y para al menos una de las fallas, ha visto “alguna evidencia muy limitada” de explotación.
“Lo que esto significa es que si usted es un cliente de MOVEit y no ha aplicado ese paquete de servicio, incluso si implementó los parches publicados anteriormente, también necesita implementar ese paquete de servicio”, dijo a Computer Weekly.
Budd agregó que ha observado antes cómo, cuando se revela, ataca y corrige una vulnerabilidad de alto perfil, las personas piensan que ahora están protegidas y su atención comienza a decaer, incluso si siguen otras revelaciones de vulnerabilidades, lo que sucede a menudo.
“Piensan, está bien, bueno, me apliqué el parche hace un mes y medio, así que terminé, está bien. Y ese no es el caso”, dijo.
“La buena noticia es que no hay indicios de que este nuevo [flaw] contra la que hemos visto evidencia de ataques está muy extendida, pero el hecho de que la gente aparentemente esté comenzando a atacarla significa que esa es la próxima ola.
“Es importante que la gente intente adelantarse a esa ola y asegurarse de aplicar no solo los parches que se han lanzado, sino también el paquete de servicio que los actualiza por completo. Si no ha aplicado ese paquete de servicio, hoy es un buen día para hacerlo”.
Budd dijo que aún no había suficiente evidencia para atribuir esta última actividad maliciosa a Clop o cualquier otro actor de amenazas, pero señaló que el mero hecho de que haya alguna evidencia de explotación sugiere que puede haber más por venir.
También aconsejó a los usuarios de cualquier producto de transferencia de archivos, no solo MOVEit, que adopten un estado de alerta máxima, ya que Clop ha favorecido históricamente las vulnerabilidades en tales herramientas. Señaló que en muchas organizaciones, las utilidades de transferencia de archivos a menudo son utilizadas de manera ad hoc por personas que no lo han aprobado con los equipos de seguridad o de TI, lo que se conoce como TI en la sombra, por lo que incluso si los profesionales de seguridad no creen que sus organizaciones están expuestas , aún deben investigar el asunto, ya que pueden encontrar algo sorprendente.
El incidente inicial de MOVEit ahora se ha cobrado cerca de 300 víctimas y probablemente haya afectado los datos de al menos 17 millones de personas. Las víctimas se encuentran en todo el mundo, aunque las cifras más altas se encuentran ahora en los EE. UU., con más de 190 confirmadas, Alemania con 28, Canadá con 21 y el Reino Unido con 17, en particular la BBC, Boots y British Airways, que fueron algunos. de las primeras víctimas nombradas en junio.
Algunas de las organizaciones más recientes “nombradas y avergonzadas” por la operación de ransomware Clop incluyen la firma de bienes raíces Jones Lang LaSalle, la cadena hotelera Radisson y el especialista en GPS TomTom.
Sinceramente, muchas personas simplemente están abrumadas: víctimas, fuerzas del orden, empresas de respuesta. ha sido bastante intenso
Charles Carmakal, mandante
Charles Carmakal, CTO del negocio de consultoría de Mandiant, propiedad de Google Cloud, que ha estado profundamente involucrado en la respuesta a incidentes después de los ataques de MOVEit, dijo: “Hay tantas víctimas que se ven afectadas por MOVEit, ya sea directa o indirectamente, que ha sido realmente impactante y mantiene a mucha gente ocupada. Sinceramente, muchas personas simplemente están abrumadas: víctimas, fuerzas del orden, empresas de respuesta. Ha sido bastante intenso”.
El incidente de MOVEit ha sido particularmente notable por el hecho de que Clop nunca implementó ransomware real y ninguna víctima parece haber sido afectada por el cifrado de datos, simplemente robo de datos y extorsión.
Carmakal explicó que en su escenario perfecto, una pandilla como Clop preferiría poder usar el cifrado para ejercer tanta presión que sus víctimas sientan que no tienen otra alternativa que pagar. Sin embargo, al pensar en el ataque MOVEit desde la perspectiva de Clop, dada la cantidad de organizaciones vulnerables y la necesidad de atacar a la mayor cantidad posible antes de que se hiciera público el día cero inicial, probablemente tenía más sentido realizar redadas de aplastamiento y captura. .
“El [previous] campaña contra Forta GoAnywhere fue muy lucrativa para [Clop],” él dijo. “Conozco muchas organizaciones de víctimas pagadas. Creo que sintieron que al estar robando datos y solo robando datos ganarían mucho dinero”.
Carmakal dijo que muchas víctimas de MOVEit han pagado, pero igualmente muchas no lo han hecho, aunque Budd dijo que Sophos no ha observado pagos entre las víctimas con las que ha trabajado.
Clop también se enfrenta a desafíos. “Son un equipo pequeño”, dijo Carmakal. “Es difícil para un equipo grande manejar esta cantidad de datos, por lo que para un equipo pequeño manejar esta cantidad de datos, muchas víctimas y toda la infraestructura que han tenido que configurar para alojar el volumen de datos que han robado, tiene ser duro.
“Están cometiendo algunos errores y probablemente cometerán más. Una de las cosas que estamos aconsejando a nuestros clientes es que este grupo cumple ciertas reglas (hacen las cosas de cierta manera), pero la advertencia es que esta vez las cosas pueden ser un poco diferentes porque los atacantes se abrumaron a sí mismos. Puede haber una serie de razones para que el actor haga cosas que pueden no ser intencionadas o que pueden ser accidentales, pero eso es solo un subproducto de que están abrumados por el gran volumen de datos que tienen y la cantidad de víctimas que tienen”.
Una diferencia muy notable observada es el hecho de que, en lugar de comunicarse directamente con sus víctimas, Clop les pidió a las víctimas que lo hicieran, algo que en realidad no se había visto antes y puede leerse como una indicación de que alguien, en algún lugar, está tratando de hacerlo. aligerar su carga de trabajo. El hecho de que el inglés no sea el primer idioma de la pandilla probablemente también complique las cosas.
“El alcance proactivo bien podría reflejar el hecho de que en esta serie de ataques, Clop ha tenido más éxito de lo que habían anticipado”, dijo Budd. “A menudo hablamos del delito cibernético como un negocio: es posible que se enfrenten a un problema comercial genuino, que es que tienen más víctimas que la infraestructura para respaldar. No me refiero a esto a la ligera de ninguna manera, pero esto bien puede ser el equivalente cibernético del servicio de asistencia técnica que se inunda durante las vacaciones “.
¿Problemas para Clop?
Hace poco más de dos años, el ataque de ransomware DarkSide en Colonial Pipeline, que causó estragos en una franja de estados de EE. UU. y elevó la seguridad cibernética a una conversación respetable en una cena, enfureció tanto a las autoridades de EE. ‘ nido.
Si bien la gente común no sintió el impacto del ataque de MOVEit en las bombas de gasolina como lo hicieron con Colonial Pipeline, la gran escala y amplitud del incidente atrajo la atención del gobierno mundial y los medios de Clop, y en la comunidad de investigación de seguridad una sugerencia de que el tripulación ha dado un paso demasiado lejos está ganando tracción.
“Hay muchos ojos sobre ellos en este momento. Hay mucha gente que está molesta y algunas de esas personas tienen la autoridad para tomar medidas, ya sea para apoderarse de la infraestructura o poner a las personas en una lista de exclusión aérea o recoger a las personas cuando viajan a ciertos países. Definitivamente han atraído mucha atención, mucho más de lo que probablemente esperaban captar”, dijo Carmakal.
Budd adoptó una opinión similar: “Hay una cierta parte superior de la curva de campana a la que los actores de amenazas en el espacio del ransomware quieren intentar apuntar. Quiere maximizar el éxito, pero si tiene demasiado éxito, obtiene la mala atención, se convierte en una molestia y una amenaza tan grande que termina reuniendo más fuerzas en respuesta a usted de lo que podría desear. Este bien podría ser uno de esos momentos”.
¿La pandilla enfrentará alguna repercusión? Carmakal dijo que a pesar de que EE. UU. y Rusia apenas se hablan en este momento, todavía hay cosas que se pueden hacer para interferir con la infraestructura de Clop, y las agencias de aplicación de la ley como el FBI han sentado un precedente para operaciones ofensivas de “hackeo”. contra los ciberdelincuentes.
No olvide, agregó, que en 2021, cuando arrestaron a varios agentes de Clop, fueron capturados en Ucrania, no en Rusia.
Por lo tanto, los miembros de Clop deberían mirar por encima del hombro, pero como lo demuestran tan acertadamente sus vínculos con otras operaciones delictivas cibernéticas, incluso si MOVEit resulta ser un paso demasiado lejos para la pandilla y se vuelve imposible de continuar, es casi seguro que se puede garantizar que el Las mismas personas detrás de la operación eventualmente resurgirán con una apariencia diferente. El adagio bíblico de que “no hay nada nuevo bajo el sol” nunca se ha aplicado tan acertadamente como al mundo de la seguridad cibernética.
