Clop, a gangue de ransomware responsável por explorar uma vulnerabilidade crítica de segurança em uma popular ferramenta corporativa de transferência de arquivos, começou a listar as vítimas dos hacks em massa, incluindo vários bancos e universidades dos EUA.
A gangue de ransomware ligada à Rússia tem explorado a falha de segurança no MOVEit Transfer, uma ferramenta usada por corporações e empresas para compartilhar arquivos grandes pela Internet, desde o final de maio. A Progress Software, que desenvolve o software MOVEit, corrigiu a vulnerabilidade – mas não antes de hackers comprometerem vários de seus clientes.
Embora o número exato de vítimas permaneça desconhecido, a Clop listou na quarta-feira o primeiro lote de organizações que diz ter hackeado explorando a falha do MOVEit. A lista de vítimas, que foi postada no site de vazamento da dark web de Clop, inclui organizações de serviços financeiros com sede nos EUA 1st Source e First National Bankers Bank; a Putnam Investments, empresa de administração de investimentos com sede em Boston; o Landal Greenparks, com sede na Holanda; e a gigante energética Shell, com sede no Reino Unido .
A GreenShield Canada, uma operadora de benefícios sem fins lucrativos que oferece benefícios de saúde e odontológicos, foi listada no site do vazamento, mas já foi removida.
Outras vítimas listadas incluem o provedor de software financeiro Datasite; National Student Clearinghouse educacional sem fins lucrativos; provedor de seguro de saúde estudantil United Healthcare Student Resources; o fabricante americano Leggett & Platt; companhia de seguros suíça ÖKK; e o Sistema Universitário da Geórgia (USG).
Um porta-voz do USG, que não forneceu seu nome, disse ao TechCrunch que a universidade está “avaliando o escopo e a gravidade dessa possível exposição de dados. Se necessário, de acordo com a lei federal e estadual, as notificações serão emitidas para todos os indivíduos afetados”.
Florian Pitzinger, porta-voz da empresa alemã de engenharia mecânica Heidelberg, que Clop listou como vítima, disse ao TechCrunch em um comunicado que a empresa está “bem ciente de sua menção no site Tor de Clop e do incidente relacionado a um software fornecedor”. O porta-voz acrescentou que o “incidente ocorrido há algumas semanas, foi combatido de forma rápida e eficaz e, com base em nossa análise, não levou a nenhuma violação de dados”.
Nenhuma das outras vítimas listadas respondeu às perguntas do TechCrunch.
A Clop, que como outras gangues de ransomware normalmente contata suas vítimas para exigir o pagamento de um resgate para descriptografar ou excluir seus arquivos roubados, tomou a atitude incomum de não entrar em contato com as organizações que havia hackeado. Em vez disso, uma mensagem de chantagem postada em seu site de vazamento na dark web disse às vítimas para entrar em contato com a gangue antes do prazo de 14 de junho.
Nenhum dado roubado foi publicado até o momento, mas Clop diz às vítimas que baixou “muitos [sic] de seus dados”.
Novas vítimas se apresentam
Várias organizações divulgaram anteriormente que foram comprometidas como resultado dos ataques, incluindo BBC, Aer Lingus e British Airways. Essas organizações foram todas afetadas porque dependem do fornecedor de software de RH e folha de pagamento Zellis, que confirmou que seu sistema MOVEit foi comprometido.
O governo da Nova Escócia, que usa o MOVEit para compartilhar arquivos entre departamentos, também confirmou que foi afetado e disse em um comunicado que as informações pessoais de alguns cidadãos podem ter sido comprometidas. No entanto, em uma mensagem em seu site de vazamento, Clop disse: “se você é um serviço governamental, municipal ou policial… apagamos todos os seus dados”.
Embora a extensão total dos ataques permaneça desconhecida, novas vítimas continuam a surgir.
A Universidade Johns Hopkins confirmou esta semana um incidente de segurança cibernética que se acredita estar relacionado ao hack em massa do MOVEit. Em um comunicado, a universidade disse que a violação de dados “pode ter afetado informações pessoais e financeiras confidenciais”, incluindo nomes, informações de contato e registros de cobrança de saúde.
Ofcom, regulador de comunicações do Reino Unido, também disse que algumas informações confidenciais foram comprometidas no hack em massa do MOVEit. Em nota , o regulador confirmou que hackers acessaram alguns dados sobre as empresas que regula, junto com informações pessoais de 412 funcionários da Ofcom.
A Transport for London (TfL), órgão governamental responsável pela administração dos serviços de transporte de Londres, e a empresa de consultoria global Ernst and Young também foram impactadas, de acordo com a BBC News . Nenhuma das organizações respondeu às perguntas do TechCrunch.
Espera-se que muitas outras vítimas sejam reveladas nos próximos dias e semanas, com milhares de servidores MOVEit – a maioria localizados nos Estados Unidos – ainda disponíveis na Internet.
Os pesquisadores também relatam que Clop pode ter explorado a vulnerabilidade MOVEit já em 2021. A empresa de consultoria de risco americana Kroll disse em um relatório que, embora a vulnerabilidade só tenha surgido no final de maio, seus pesquisadores identificaram atividades indicando que Clop estava experimentando com maneiras de explorar essa vulnerabilidade específica por quase dois anos.
“Essa descoberta ilustra o conhecimento e o planejamento sofisticados que envolvem eventos de exploração em massa, como o ciberataque MOVEit Transfer”, disseram os pesquisadores da Kroll.
Clop também foi responsável por ataques em massa anteriores explorando falhas na ferramenta de transferência de arquivos GoAnywhere da Fortra e no aplicativo de transferência de arquivos da Accellion .
Fonte leia mais: https://techcrunch.com/2023/06/15/moveit-clop-mass-hacks-banks-universities/
