Como os nomes das primeiras vítimas conhecidas de a exploração de dia zero do MOVEit começou a rolar em 4 de junho, a Microsoft vinculou a campanha a a roupa do ransomware Cl0p, que chama de "Lace Tempest". Isso torna este apenas o mais recente de uma série de ataques cibernéticos muito semelhantes contra vários serviços de transferência de arquivos da gangue.
Desde 1º de junho, quando a Progress Software anunciou uma vulnerabilidade de dia zero em seu programa de transferência de arquivos MOVEit, pesquisadores e organizações potencialmente afetadas têm tentado juntar as peças. Análise da Mandiant sugeriu que os hackers começaram a explorar o dia zero no sábado anterior, 27 de maio, enquanto a empresa de inteligência de ameaças Greynoise relatou observar "atividade de verificação da página de login do MOVEit Transfer localizada em /human.aspx já em 3 de março de 2023."
Somente nas últimas 24 horas algumas vítimas notáveis desta campanha começaram a aparecer. O governo da Nova Escócia é atualmente tentando avaliar quanto dos dados de seus cidadãos foram roubados, e uma violação na Zellis, uma empresa de folha de pagamento do Reino Unido, causou comprometimentos posteriores para alguns de seus clientes de alto perfil, incluindo Boots, a BBC e British Airways.
No que diz respeito à atribuição, a partir de 2 de junho, Mandiant vinha tratando os perpetradores como um grupo potencialmente novo, com possíveis links para a gangue de cibercrimes FIN11, conhecido por suas campanhas de ransomware e extorsão e status como afiliado da Clop. A tweet publicado na noite de domingo pela Microsoft ofereceu uma conclusão mais definitiva:
"A Microsoft está atribuindo ataques que exploram o CVE-2023-34362 MOVEit Transfer vulnerabilidade de dia 0 para Lace Tempest, conhecido por operações de ransomware e execução do site de extorsão Clop. O ator da ameaça usou vulnerabilidades semelhantes no passado para roubar dados e extorquir vítimas”, dizia o tweet.
“Esse ator de ameaça é aquele que acompanhamos há anos”, disse a Microsoft ao Dark Reading. Eles são "um grupo bem conhecido responsável por um número significativo de ameaças ao longo dos anos. Lace Tempest (sobrepõe-se com FIN11, Monte incluído) é uma força dominante no cenário emergente de ransomware e extorsão."
Como as organizações afetadas devem responder ao CVE-2023-34362
Para John Hammond, pesquisador sênior de segurança da Huntress que está rastreando a vulnerabilidade na semana passada, a atribuição da Microsoft levanta grandes preocupações para as vítimas. "Não sei o que acontecerá a seguir. Ainda não vimos nenhuma demanda de ransomware, extorsão ou chantagem. Não sei se estamos esperando ou o que acontecerá a seguir", ele se pergunta.
Em 2 de junho, a Progress Software emitiu um patch para CVE-2023-34362. Mas com evidências que sugerem que os invasores já o estavam explorando em 27 de maio, se não em 3 de março, simplesmente corrigir não é suficiente para que os clientes existentes sejam considerados seguros.
Por um lado, quaisquer dados já roubados podem e podem ser usados em ataques subsequentes. Como aponta a Microsoft, "houve dois tipos de vítimas do Lace Tempest. O primeiro são as vítimas com um servidor explorado onde um shell da Web foi descartado (e potencialmente interagiu para realizar o reconhecimento). O segundo tipo são as vítimas onde o Lace Tempest roubou dados." Prevemos que o próximo passo será a extorsão de vítimas que sofreram roubo de dados."
No mínimo, Hammond aconselha que os clientes não apenas corrijam, mas também "examinem esses logs, vejam quais artefatos estão lá, vejam se vocês podem remover quaisquer outros ganchos e garras. Mesmo se você corrigir, certifique-se de que o Web Shell tenha foi removido e excluído. É uma questão de devida diligência aqui."
Serviços de transferência de arquivos sob fogo cibernético
Nenhuma limpeza do MOVEit resolverá um problema subjacente mais profundo que parece estar acontecendo ultimamente: está claro que grupos de hackers identificaram os serviços de transferência de arquivos como uma mina de ouro para o crime cibernético financeiro.
Apenas alguns meses atrás, cibercriminosos invadiram o Aspera Faspex da IBM. Um mês antes, o Cl0p executou uma campanha com notável semelhança com o esforço da semana passada, dessa vez contra o serviço GoAnywhere da Fortra. Não foi nem a primeira incursão do Cl0p em violações de transferência de arquivos – anos antes, eles fizeram o mesmo com Accelion.
As empresas que trafegam dados sensíveis com estes serviços terão de encontrar uma solução a longo prazo para o que se está a revelar um problema endémico. No entanto, não está claro exatamente qual será essa solução a longo prazo.
Hammond recomenda "tentar limitar sua superfície de ataque. Tudo o que pudermos fazer para reduzir softwares que não precisamos ou aplicativos que poderiam ser tratados de uma maneira melhor e mais moderna. Acho que essas são talvez as melhores palavras de conselhos no momento além de: patch."
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :tem
- :é
- :não
- :onde
- $UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- atividade
- conselho
- Afiliados
- contra
- vias aéreas
- já
- tb
- quantidade
- an
- e
- antecipar
- qualquer
- aplicações
- SOMOS
- por aí
- AS
- At
- ataque
- Ataques
- em caminho duplo
- bbc
- BE
- sido
- antes
- começou
- MELHOR
- Melhor
- Chantagem
- Botas
- violação
- violações
- Britânico
- British Airways
- mas a
- by
- chamadas
- Campanha
- Campanhas
- CAN
- causado
- Cidadãos
- remover filtragem
- clientes
- CO
- como
- vinda
- Empresa
- preocupado
- Preocupações
- conclusão
- Conduzir
- considerado
- poderia
- Clientes
- cibernético
- ataques cibernéticos
- cibercrime
- Escuro
- Leitura escura
- dados,
- mais profunda
- definitivo
- demandas
- DID
- diligência
- do
- dominante
- don
- desistiu
- dois
- Cedo
- esforço
- ou
- emergente
- suficiente
- Éter (ETH)
- Mesmo
- evidência
- exatamente
- executado
- existente
- experiente
- exploradas
- extorsão
- Cair
- poucos
- Envie o
- financeiro
- Encontre
- Empresa
- Primeiro nome
- seguinte
- Escolha
- Incursão
- força
- da
- Gangue
- Go
- vai
- Governo
- Grupo
- Do grupo
- cabouqueiro
- hackers
- tinha
- acontecer
- Ter
- he
- SUA PARTICIPAÇÃO FAZ A DIFERENÇA
- de alto perfil
- Hooks
- HORÁRIO
- Como funciona o dobrador de carta de canal
- HTTPS
- i
- IBM
- identificado
- if
- in
- Incluindo
- Inteligência
- para dentro
- Emitido
- IT
- ESTÁ
- banheiro
- jpg
- Junho
- Saber
- conhecido
- paisagem
- Sobrenome
- mais recente
- leve
- LIMITE
- ligado
- Links
- localizado
- entrar
- principal
- fazer
- FAZ
- Março
- Importância
- Posso..
- apenas
- Microsoft
- mínimo
- espelho
- EQUIPAMENTOS
- momento
- Mês
- mês
- mais
- mover
- muito
- nomes
- você merece...
- Próximo
- nist
- notável
- romance
- número
- of
- oferecido
- on
- ONE
- só
- Operações
- or
- organizações
- Outros
- Fora
- Acima de
- página
- passado
- Remendo
- Patching
- Folha de pagamento
- escolher
- peças
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- potencial
- potencialmente
- Prévio
- Problema
- Agenda
- Progresso
- publicado
- raises
- ransomware
- RE
- Leia
- Leitura
- recomenda
- reduzir
- remover
- Removido
- investigador
- pesquisadores
- Responder
- responsável
- Rolo
- corrida
- s
- seguro
- mesmo
- sábado
- exploração
- Segundo
- segurança
- Vejo
- parece
- visto
- senior
- sensível
- Serviços
- concha
- rede de apoio social
- periodo
- semelhante
- simplesmente
- desde
- local
- Sentado
- Software
- solução
- alguns
- começado
- Status
- roubado
- Tanga
- sugerir
- superfície
- conta
- do que
- que
- A
- roubo
- deles
- Lá.
- Este
- deles
- coisa
- think
- isto
- aqueles
- Apesar?
- ameaça
- inteligência de ameaças
- ameaças
- Através da
- tempo
- para
- tráfego
- transferência
- tratamento
- tentar
- Passando
- Tweet
- dois
- tipo
- Uk
- para
- subjacente
- usava
- vário
- Ve
- muito
- vítimas
- vulnerabilidades
- vulnerabilidade
- Esperando
- foi
- não era
- Caminho..
- we
- web
- semana
- bem conhecido
- foram
- O Quê
- o que quer
- quando
- qual
- enquanto
- QUEM
- precisarão
- com
- palavras
- anos
- ainda
- Você
- investimentos
- zefirnet