Investigadores de Microsoft vinculan a Clop Gang con el ataque de transferencia MOVEit

Clop and MOVEit Transfer

Microsoft ha vinculado a la banda de ransomware Clop con un ataque reciente que utiliza una vulnerabilidad de día cero en la plataforma MOVEit Transfer para robar datos de organizaciones.. El equipo Threat Intel de la compañía nombra a la banda de ciberdelincuentes Lace Tempest como un sospechoso clave en estos ataques..

¿Quiénes son los hackers de Lace Tempest??

Microsoft está atribuyendo ataques que explotan la CVE-2023-34362 MOVEit Transfiere la vulnerabilidad de 0 días al Tempestad de encaje grupo cibercriminal conocido por su ransomware y ejecutar el Clope sitio de fuga. «Tempestad de encaje» es el nuevo nombre, según la clasificación actualizada de Microsoft, para la agrupación, mejor conocido como TA505, FIN11, o DEV-0950. Los atacantes han utilizado vulnerabilidades similares en el pasado para robar datos y extorsionar a las víctimas..

¿Qué es la vulnerabilidad de día 0 de MOVEit MFT??

MOVEit Transfer es una transferencia de archivos administrada (MFT) solución que permite a las empresas transferir archivos de forma segura entre socios comerciales y clientes mediante SFTP, SCP, y descargas basadas en HTTP. Se cree que el ataque que utilizaban esta brecha comenzó en mayo. 27, durante el largo feriado del Memorial Day en los Estados Unidos. El mismo día, Numerosas organizaciones informaron sobre fugas de datos..

A finales de la semana pasada, Progress Software developers warned sobre el descubrimiento de una vulnerabilidad crítica en MOVEit Transfer. segun ellos, La explotación de esta vulnerabilidad podría conducir a una escalada de privilegios y otorgar a terceros acceso no autorizado al entorno de MOVEit Transfer.. Los atacantes utilizaron la vulnerabilidad de día cero de MOVEit para eliminar shells web especialmente diseñados en los servidores, permitiéndoles extraer una lista de archivos almacenados en el servidor, subir archivos, y robar credenciales/secretos para configurados Azure contenedores de almacenamiento de blobs.

Si bien no estaba claro en ese momento quién estaba detrás de los ataques, Se creía ampliamente que el ransomware Clop era responsable del ataque debido a las similitudes con ataques anteriores llevados a cabo por el grupo.. Después de todo, este grupo llevó a cabo dos de los mayores ciberataques en la historia de las plataformas MFT.

El primero ocurrió en 2020, cuando Clop explotó el TLC de accesión vulnerabilidad de día cero. El segundo ocurrió en enero de este año., también debido a una vulnerabilidad de día cero, pero ya en el Fortra GoAnywhere MFT. Como resultado de ambos ataques, Los hackers de Clop se apoderaron de los datos de cientos de organizaciones. También escribimos que FIN7 Actividad reanudada del grupo de piratería, Vinculado a Clop Ransomware y otros medios indicaron que Los operadores de ransomware Clop filtraron datos de dos universidades.

Entonces que?

Actualmente, La etapa de extorsión aún no ha comenzado., y las víctimas aún no han recibido demandas de rescate. Sin embargo, se sabe que la pandilla Clop, si Microsoft no se ha equivocado en sus juicios, espera varias semanas después del robo. Quizás los piratas informáticos estructuren los datos robados y determinen su valor.. Y sólo cuando estén listos, enviarán sus demandas a los responsables de las empresas afectadas por correo electrónico. Después del ataque a GoAnywhere, Pasó poco más de un mes antes de que los piratas informáticos publicaran una lista de víctimas en su sitio de filtración.. Esta vez, es probable que también tengas que esperar un poco.

Como solución alternativa, Se recomienda a todos los clientes que bloqueen el tráfico externo en los puertos. 80 y 443 en el servidor de MOVEit Transfer lo antes posible. Al mismo tiempo, los desarrolladores advirtieron que bloquear estos puertos prohibiría el acceso externo a la interfaz web, interferir con algunos aspectos de la automatización, bloquear la API, y evitar que funcione el complemento Outlook MOVEit Transfer.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *