La organización de ransomware Clop ha subido cinco víctimas más de ataques MOVEit a su sitio de fugas en la web oscura. Entre estas víctimas se encuentran gigantes industriales como Schneider Electric y Siemens Energy. Los sistemas de control industrial (ICS) son un producto suministrado por Schneider Electric y Siemens Energy. Estos ICS se utilizan en infraestructuras nacionales vitales en todo el mundo.
Los actores de amenazas afirman que han comprometido los sistemas de cientos de empresas al aprovechar la vulnerabilidad MOVEit Transfer que se hizo pública recientemente (CVE-2023-34362).
MOVEit Transfer es una transferencia de archivos gestionada que permite a las empresas transferir archivos de forma segura mediante cargas basadas en SFTP, SCP y HTTP. Esta característica es utilizada por MOVEit Transfer.
Es posible que un atacante no autenticado aproveche la vulnerabilidad de inyección SQL para obtener acceso no autorizado a la base de datos que utiliza MOVEit Transfer. El grupo de ransomware Cl0p se atribuyó la responsabilidad de explotar la vulnerabilidad de día cero en MOVEit. Afirman que a lo largo de este proceso, irrumpieron en cientos de negocios diferentes. Según los especialistas, había alrededor de 3.000 instalaciones activas del programa MOVEit cuando se detectó inicialmente la vulnerabilidad.
Desde el 14 de junio, Cl0p ha estado publicando los nombres de las víctimas en el sitio de fugas que tienen en la dark web. Hasta el momento, se han publicado los nombres de Shell Global, Telos, Norton LifeLock, el Sistema de jubilación de empleados públicos de California (CalPERS), PWC, Ernst & Young, Sony y decenas de otras empresas.
Ransomware-as-a-Service, o RaaS, es el estilo de operación que utiliza Cl0p. Esto implica que arrienda el malware a afiliados a cambio de un cierto porcentaje del pago del rescate.
La organización criminal utiliza una estrategia conocida como “doble extorsión”, en la que roban y cifran los datos de sus víctimas, se niegan a restaurar el acceso a los datos y luego publican los datos extraídos en su sitio de fuga de datos si no se paga el rescate.
El gobierno de los Estados Unidos ofrece una recompensa de hasta diez millones de dólares a cualquiera que pueda proporcionar evidencia que conecte a CL0P Ransomware Gang o cualquier otro actor de amenazas que apunte a infraestructura vital en los Estados Unidos con un gobierno extranjero.
La recompensa se ofrece bajo el programa Rewards for Justice del Departamento de Estado de los Estados Unidos.
En una respuesta, Schneider dijo que la compañía estaba “actualmente investigando este reclamo”. Abbvie no hizo comentarios de inmediato. Cl0p no respondió de inmediato a la comunicación.
La Oficina Federal de Investigaciones emitió un comunicado en el que afirmaba que estaba “al tanto de la reciente explotación de una vulnerabilidad de MOVEit por parte de actores de ransomware maliciosos e investigaba”.
Tanto Siemens como UCLA solo han publicado una cantidad limitada de información adicional sobre la naturaleza y el alcance de las filtraciones de datos. Siemens ha dicho que ninguno de sus datos vitales ha sido pirateado y que las operaciones de la compañía no han sido interrumpidas de ninguna manera. Según un comunicado emitido por UCLA, los sistemas del campus de la universidad no fueron interrumpidos y “todos los que se vieron afectados han sido notificados”.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.