Como los nombres de las primeras víctimas conocidas de la explotación de día cero de MOVEit comenzó a rodar el 4 de junio, Microsoft vinculó la campaña a el equipo de ransomware Cl0p, al que llama "Lace Tempest". Eso hace que este sea simplemente el último de una serie de ciberataques muy similares contra varios servicios de transferencia de archivos por parte de la pandilla.
Desde el 1 de junio, cuando Progress Software anunció una vulnerabilidad de día cero en su programa de transferencia de archivos MOVEit, los investigadores y las organizaciones potencialmente afectadas han estado tratando de recoger las piezas. Análisis de Mandiant sugirió que los piratas informáticos habían comenzado a explotar el día cero desde el sábado anterior, 27 de mayo, mientras que la firma de inteligencia de amenazas Greynoise informó observar "Actividad de escaneo de la página de inicio de sesión de MOVEit Transfer ubicada en /human.aspx ya el 3 de marzo de 2023".
Recién en las últimas 24 horas han comenzado a salir a la luz algunas víctimas destacadas de esta campaña. El gobierno de Nueva Escocia está actualmente tratando de medir cuántos datos de sus ciudadanos han sido robados, y una filtración en Zellis, una empresa de nóminas del Reino Unido, ha provocado compromisos posteriores para algunos de sus clientes de alto perfil, incluidos Boots, la BBCy British Airways.
En lo que respecta a la atribución, desde el 2 de junio, Mandiant había estado tratando a los perpetradores como un grupo potencialmente nuevo, con posibles vínculos con la pandilla de ciberdelincuencia FIN11, conocido por sus campañas de ransomware y extorsión y su condición de afiliado de Clop. A tweet publicado el domingo por la noche por Microsoft ofreció una conclusión más definitiva:
"Microsoft está atribuyendo ataques que explotan el CVE-2023-34362 MOVEit transfiere vulnerabilidad de día 0 a Lace Tempest, conocido por operaciones de ransomware y por ejecutar el sitio de extorsión Clop. El actor de amenazas ha utilizado vulnerabilidades similares en el pasado para robar datos y extorsionar a las víctimas", decía el tweet.
"Este actor de amenazas es uno que hemos estado siguiendo durante años", le dice Microsoft a Dark Reading. Son "un grupo muy conocido responsable de un número significativo de amenazas a lo largo de los años. Lace Tempest (se superpone con FIN11, TA505) es una fuerza dominante en el panorama de ransomware y extorsión emergente".
Cómo deben responder las organizaciones afectadas a CVE-2023-34362
Para John Hammond, investigador senior de seguridad de Huntress que ha estado rastreando la vulnerabilidad la semana pasada, la atribución de Microsoft genera grandes preocupaciones para las víctimas. "No sé qué pasará después. No hemos visto ninguna demanda de ransomware, ni extorsión o chantaje todavía. No sé si estamos esperando o qué sucederá después", se pregunta.
El 2 de junio, Progress Software emitió un parche para CVE-2023-34362. Pero con evidencia que sugiere que los atacantes ya lo estaban explotando desde el 27 de mayo, si no el 3 de marzo, simplemente parchear no es suficiente para que los clientes existentes se consideren seguros.
Por un lado, cualquier dato ya robado puede usarse en ataques posteriores. Como señala Microsoft, "ha habido dos tipos de víctimas de Lace Tempest. El primero son víctimas con un servidor explotado donde se soltó un shell web (y potencialmente se interactuó con él para realizar un reconocimiento). El segundo tipo son víctimas donde Lace Tempest robó datos." Anticipamos que su próximo paso será la extorsión de las víctimas que hayan experimentado el robo de datos".
Como mínimo, Hammond aconseja que los clientes no sólo parcheen, sino que también "revisen esos registros, vean qué artefactos hay, vean si pueden eliminar otros ganchos y garras. Incluso si parchean, asegúrese de que Web Shell tenga "Ha sido eliminado y eliminado. Es una cuestión de debida diligencia aquí".
Servicios de transferencia de archivos bajo Cyber Fire
Ninguna limpieza de MOVEit solucionará un problema subyacente más profundo que parece estar rondando últimamente: está claro que los grupos de hackers han identificado los servicios de transferencia de archivos como una mina de oro para el cibercrimen financiero.
Hace apenas unos meses, Los ciberdelincuentes invadieron Aspera Faspex de IBM. Un mes antes, Cl0p ejecutó una campaña con sorprendente similitud con el esfuerzo de la semana pasada, esa vez contra el servicio GoAnywhere de Fortra. Ni siquiera fue la primera incursión de Cl0p en violaciones de transferencia de archivos. años antes, le hicieron lo mismo a Accelion.
Las empresas que trafican datos confidenciales con estos servicios necesitarán encontrar una solución a largo plazo a lo que se está convirtiendo en un problema endémico. Sin embargo, no está claro cuál será exactamente esa solución a largo plazo.
Hammond recomienda "tratar de limitar su superficie de ataque. Cualquier cosa que podamos hacer para reducir el software que no necesitamos o las aplicaciones que podrían manejarse de una manera mejor y más moderna. Creo que esas son quizás las mejores palabras". "Hay otro consejo en este momento aparte de: parche."
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Compra y Vende Acciones en Empresas PRE-IPO con PREIPO®. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :posee
- :es
- :no
- :dónde
- $ UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- actividad
- consejos
- Afiliación
- en contra
- vías respiratorias
- ya haya utilizado
- también
- cantidad
- an
- y
- anticiparse a
- cualquier
- aplicaciones
- somos
- en torno a
- AS
- At
- atacar
- ataques
- Atrás
- BBC
- BE
- esto
- antes
- comenzado
- MEJOR
- mejores
- Chantaje
- Botas
- incumplimiento
- infracciones
- Autoridad Británica
- British Airways
- pero
- by
- Calls
- Campaña
- Campañas
- PUEDEN
- causado
- Ciudadanos
- limpiar
- clientes
- CO
- cómo
- viniendo
- compañía
- preocupado
- Inquietudes
- conclusión
- Conducir
- considerado
- podría
- Clientes
- ciber
- Ataques ciberneticos
- ciberdelincuencia
- Oscuro
- Lectura oscura
- datos
- más profundo
- definitivo
- demandas
- HIZO
- diligencia
- do
- dominante
- don
- caído
- dos
- Temprano en la
- esfuerzo
- ya sea
- emergentes
- suficientes
- Éter (ETH)
- Incluso
- evidencia sólida
- exactamente
- ejecutado
- existente
- experimentado
- Explotado
- extorsión
- Otoño
- pocos
- Archive
- financiero
- Encuentre
- Firme
- Nombre
- siguiendo
- Incursión
- FORCE
- en
- Pandillas
- Go
- va
- Gobierno
- Grupo procesos
- Grupo
- pirata informático
- los piratas informáticos
- tenido
- suceder
- Tienen
- he
- esta página
- de alto perfil
- Manos
- HORAS
- Cómo
- HTTPS
- i
- IBM
- no haber aun identificado una solucion para el problema
- if
- in
- Incluye
- Intelligence
- dentro
- Emitido
- IT
- SUS
- Juan
- jpg
- junio
- Saber
- conocido
- paisaje
- Apellido
- más reciente
- luz
- LIMITE LAS
- vinculado
- enlaces
- situados
- Inicie sesión
- gran
- para lograr
- HACE
- Marzo
- Materia
- Puede..
- simplemente
- Microsoft
- mínimo
- espejo
- Moderno
- momento
- Mes
- meses
- más,
- movimiento
- mucho más
- nombres
- ¿ Necesita ayuda
- Next
- nist
- notable
- novela
- número
- of
- Ofrecido
- on
- ONE
- , solamente
- Operaciones
- or
- para las fiestas.
- Otro
- salir
- Más de
- página
- pasado
- Patch
- parcheo
- Departamento de Nóminas
- recoger
- piezas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- puntos
- posible
- la posibilidad
- Anterior
- Problema
- Programa
- Progreso
- publicado
- plantea
- ransomware
- RE
- Leer
- Reading
- de CFP.
- reducir
- remove
- Remoto
- investigador
- investigadores
- Responder
- responsable
- Rodar
- correr
- s
- ambiente seguro
- mismo
- sábado
- exploración
- Segundo
- EN LINEA
- ver
- parece
- visto
- mayor
- sensible
- Servicios
- Cáscara
- tienes
- importante
- similares
- simplemente
- desde
- página web
- Sentado
- Software
- a medida
- algo
- fundó
- Estado
- robada
- Cordón
- sugieren
- Superficie
- decirles
- que
- esa
- El
- robo
- su
- Ahí.
- Estas
- ellos
- cosa
- pensar
- así
- aquellos
- ¿aunque?
- amenaza
- inteligencia de amenazas
- amenazas
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- tráfico
- transferir
- tratar
- try
- Turning
- Tweet
- dos
- tipo
- Uk
- bajo
- subyacente
- usado
- diversos
- Ve
- muy
- las víctimas
- Vulnerabilidades
- vulnerabilidad
- Esperando
- fue
- no fue
- Camino..
- we
- web
- semana
- bien conocido
- tuvieron
- ¿
- lo que
- cuando
- que
- mientras
- QUIENES
- seguirá
- palabras
- años
- aún
- Usted
- tú
- zephyrnet