La BBC, British Airways y el gobierno de Nueva Escocia son víctimas confirmadas
Los investigadores de seguridad han vinculó una nueva ola de hackeos masivos dirigidos a una popular herramienta de transferencia de archivos a la notoria banda de ransomware Clop, a medida que las primeras víctimas de los ataques comienzan a aparecer.
La semana pasada se reveló que los piratas informáticos están explotando una vulnerabilidad recién descubierta en MOVEit Transfer, una herramienta de transferencia de archivos ampliamente utilizada por las empresas para compartir archivos grandes a través de Internet. La vulnerabilidad permite a los piratas informáticos obtener acceso no autorizado a la base de datos de un servidor MOVEit afectado. Progress Software, que desarrolla el software MOVEit, ya ha lanzado algunos parches.
Durante el fin de semana, comenzaron a presentarse las primeras víctimas de los ataques.
Zellis, un fabricante de software de recursos humanos y proveedor de nóminas con sede en el Reino Unido, confirmó a TechCrunch que su sistema MOVEit se vio comprometido y que el incidente afectó a un «pequeño número» de sus clientes corporativos.
Uno de esos clientes es el gigante de las aerolíneas del Reino Unido, British Airways, que le dijo a TechCrunch que la violación incluía los datos de nómina de todos sus empleados con sede en el Reino Unido.
“Se nos ha informado que somos una de las empresas afectadas por el incidente de seguridad cibernética de Zellis que ocurrió a través de uno de sus proveedores externos llamado MOVEit”, dijo a TechCrunch el portavoz de British Airways, Jason Turnnidge-Betts. “Zellis brinda servicios de soporte de nómina a cientos de empresas en el Reino Unido, de las cuales somos una. Hemos notificado a aquellos colegas cuya información personal se ha visto comprometida para brindar apoyo y asesoramiento”.
British Airways no confirmó cuántos empleados se ven afectados, pero actualmente tiene alrededor de 35.000 empleados en todo el mundo.
La BBC del Reino Unido también confirmó que se vio afectada por el incidente que afectó a Zellis. Un portavoz de la BBC, que se negó a proporcionar su nombre, le dijo a TechCrunch: “Somos conscientes de una violación de datos en nuestro proveedor externo, Zellis, y estamos trabajando en estrecha colaboración con ellos mientras investigan con urgencia el alcance de la violación. Nos tomamos la seguridad de los datos muy en serio y estamos siguiendo los procedimientos de información establecidos”.
El gobierno de Nueva Escocia, que usa MOVEit para compartir archivos entre departamentos, dijo en un comunicado que la información personal de algunos ciudadanos podría haberse visto comprometida. El gobierno de Nueva Escocia dijo que desconectó su sistema afectado y está trabajando para determinar «exactamente qué información fue robada y cuántas personas se vieron afectadas».
Inicialmente, no estaba claro quién estaba detrás de esta nueva ola de ataques, pero los investigadores de seguridad de Microsoft atribuyen los ataques cibernéticos a un grupo al que rastrean como «Lace Tempest». Esta pandilla es una conocida afiliada del grupo de ransomware Clop vinculado a Rusia, que anteriormente estuvo vinculado a ataques masivos que explotaban fallas en la herramienta de transferencia de archivos GoAnywhere de Fortra y la aplicación de transferencia de archivos de Accellion.
Los investigadores de Microsoft dijeron que la explotación de la vulnerabilidad MOVEit a menudo es seguida por la filtración de datos.
Mandiant aún no está haciendo la misma atribución que Microsoft, pero señaló en una publicación de blog durante el fin de semana que hay similitudes «notables» entre un grupo de amenazas recién creado al que llama UNC4857 que hasta el momento tiene «motivaciones desconocidas» y FIN11, un grupo de ransomware bien establecido conocido por operar el ransomware Clop. “El análisis en curso de la actividad emergente puede proporcionar información adicional”, dijo Mandiant.
Charles Carmakal, director de tecnología de Mandiant, confirmó a TechCrunch la semana pasada que la compañía había «visto evidencia de exfiltración de datos en múltiples víctimas».
Es probable que muchas más víctimas de la violación de MOVEit salgan a la luz en los próximos días.
Shodan, un motor de búsqueda de dispositivos y bases de datos expuestos públicamente, mostró que más de 2500 servidores MOVEit Transfer se podían encontrar en Internet.