Clop, la banda de ransomware responsable de explotar una vulnerabilidad crítica en una popular herramienta de transferencia de archivos corporativos, ha comenzado a enumerar a las víctimas de los hackeos masivos, incluyendo varios bancos y universidades estadounidenses.
La banda de ransomware vinculada a Rusia ha estado explotando la vulnerabilidad de seguridad en MOVEit Transfer, una herramienta utilizada por corporaciones y empresas para compartir archivos grandes a través de Internet, desde finales de mayo.
Progress Software, desarrollador del software MOVEit, corrigió la vulnerabilidad, pero no antes de que los hackers comprometieran a varios de sus clientes.
Aunque se desconoce el número exacto de víctimas, Clop publicó el miércoles la primera lista de organizaciones que afirma haber hackeado aprovechando la vulnerabilidad de MOVEit. La lista de víctimas, publicada en el sitio web oscuro de filtraciones de Clop, incluye a organizaciones de servicios financieros con sede en Estados Unidos, como 1st Source y First National Bankers Bank; la firma de gestión de inversiones con sede en Boston, Putnam Investments; el parque turístico con base en los Países Bajos, Landal Greenparks; y la gigante energética con sede en el Reino Unido, Shell.
GreenShield Canada, una aseguradora sin fines de lucro que ofrece beneficios de salud y dental, apareció en la lista filtrada pero luego fue eliminada.
Entre las otras víctimas figuran el proveedor de software financiero Datasite; la organización educativa sin fines de lucro National Student Clearinghouse; el proveedor de seguros de salud estudiantil United Healthcare Student Resources; el fabricante estadounidense Leggett & Platt; la compañía de seguros suiza ÖKK; y el Sistema Universitario de Georgia (USG).
Un portavoz de USG, que no proporcionó su nombre, le dijo a TechCrunch que la universidad está "evaluando el alcance y la gravedad de esta posible exposición de datos. Si es necesario, de acuerdo con las leyes federales y estatales, se emitirán notificaciones a las personas afectadas".
Florian Pitzinger, portavoz de la empresa alemana de ingeniería mecánica Heidelberg, que Clop incluyó en su lista de víctimas, dijo a TechCrunch en un comunicado que la compañía "es consciente de su mención en el sitio web de Clop en Tor y del incidente relacionado con el software de un proveedor". El portavoz agregó que el "incidente ocurrió hace algunas semanas, se contrarrestó rápidamente y no condujo a ninguna violación de datos según nuestro análisis".
Ninguna de las otras víctimas enumeradas ha respondido aún a las preguntas de TechCrunch.
Clop, que al igual que otras bandas de ransomware generalmente se pone en contacto con sus víctimas para exigir un rescate a cambio de descifrar o eliminar sus archivos robados, tomó la inusual medida de no contactar a las organizaciones que había hackeado.
En su lugar, un mensaje de chantaje publicado en la darkweb de filtraciones les dijo a las víctimas que se pusieran en contacto con la banda antes de su fecha límite del 14 de junio.
Hasta el momento de escribir este texto, no se ha publicado ningún dato robado, pero Clop les dice a las víctimas que ha descargado "mucho de sus datos".
Varias organizaciones previamente revelaron que fueron comprometidas como resultado de los ataques, incluyendo la BBC, Aer Lingus y British Airways. Estas organizaciones se vieron afectadas porque dependen del proveedor de software de recursos humanos y nóminas Zellis, que confirmó que su sistema MOVEit fue comprometido.
El Gobierno de Nueva Escocia, que utiliza MOVEit para compartir archivos entre departamentos, también confirmó que se vio afectado y dijo en un comunicado que la información personal de algunos ciudadanos podría haber sido comprometida. Sin embargo, en un mensaje en su sitio de filtraciones, Clop dijo: "si eres un gobierno, ciudad o servicio de policía... hemos borrado todos tus datos".
Aunque se desconoce el alcance total de los ataques, nuevas víctimas continúan presentándose.
La Universidad Johns Hopkins confirmó esta semana un incidente de ciberseguridad que se cree está relacionado con el hackeo masivo de MOVEit. En un comunicado, la universidad dijo que la violación de datos "puede haber afectado información personal y financiera confidencial", incluyendo nombres, información de contacto y registros de facturación de salud.
Ofcom, el regulador de comunicaciones del Reino Unido, también dijo que se había comprometido cierta información confidencial en el hackeo masivo de MOVEit. En un comunicado, el regulador confirmó que los hackers accedieron a algunos datos sobre las empresas que regula, junto con la información personal de 412 empleados de Ofcom.
Transport for London (TfL), el organismo gubernamental responsable de los servicios de transporte de Londres, y la empresa de consultoría global Ernst & Young también se ven afectados, según BBC News. Ninguna de las organizaciones respondió a las preguntas de TechCrunch.
Se espera que se revelen muchas más víctimas en los próximos días y semanas, ya que miles de servidores de MOVEit, la mayoría ubicados en Estados Unidos, siguen siendo detectables en Internet.
Los investigadores también informan que Clop podría haber estado explotando la vulnerabilidad de MOVEit desde 2021. La firma de consultoría de riesgos estadounidense Kroll dijo en un informe que si bien la vulnerabilidad se hizo pública a fines de mayo, sus investigadores identificaron actividad que indicaba que Clop estaba experimentando con formas de explotar esta vulnerabilidad en particular durante casi dos años.
"Este hallazgo ilustra los conocimientos sofisticados y la planificación que se requieren en eventos de explotación masiva como el ciberataque a MOVEit Transfer", dijeron los investigadores de Kroll.
Clop también fue responsable de ataques masivos anteriores que explotaron fallas en la herramienta de transferencia de archivos GoAnywhere de Fortra y la aplicación de transferencia de archivos de Accellion.
Aviso legal: Este documento ha sido compartido desde la página de TechCrunch con el único propósito de fomentar el discurso sobre el tema de la ciberseguridad y las buenas prácticas de ciberseguridad. Nuestra intención no es difamar a ninguna empresa, persona o entidad legal. Toda la información mencionada en este documento se basa en informes y datos disponibles gratuitamente en línea. Never Off Technology no se atribuye ningún crédito ni responsabilidad por la precisión de cualquier fuente o información compartida en este documento.