Número de vítimas afetadas por um ataque de ransomware em massa, causado por um bug em uma ferramenta popular de transferência de dados usada por empresas em todo o mundo, continua a crescer enquanto outra organização diz ao TechCrunch que também foi hackeada.
A gigante financeira canadense Investissement Québec confirmou ao TechCrunch que “algumas informações pessoais de funcionários” foram recentemente roubadas por um grupo de ransomware que alegou ter violado dezenas de outras empresas . A porta-voz Isabelle Fontaine disse que o incidente ocorreu na Fortra, anteriormente conhecida como HelpSystems, que desenvolve a vulnerável ferramenta de transferência de arquivos GoAnywhere.
A Hitachi Energy também confirmou esta semana que alguns dos dados de seus funcionários foram roubados em um incidente semelhante envolvendo seu sistema GoAnywhere, mas dizendo que o incidente aconteceu na Fortra.
Nos últimos dias, a gangue Clop, ligada à Rússia, adicionou várias outras organizações ao seu site de vazamento na dark web, que usa para extorquir empresas ainda mais, ameaçando publicar os arquivos roubados, a menos que um pedido de resgate financeiro seja pago.
O TechCrunch soube de dezenas de organizações que usaram o software de transferência de arquivos GoAnywhere afetado no momento do ataque de ransomware, sugerindo que mais vítimas provavelmente se apresentarão.
No entanto, embora o número de vítimas do hack em massa esteja aumentando, o impacto conhecido é, na melhor das hipóteses, obscuro.
“130 organizações”
Desde o ataque no final de janeiro ou início de fevereiro – a data exata não é conhecida – Clop divulgou menos da metade das 130 organizações que alegou ter comprometido via GoAnywhere, um sistema que pode ser hospedado na nuvem ou na rede de uma organização que permite que as empresas transfiram com segurança grandes conjuntos de dados e outros arquivos grandes.
Não está claro se a Fortra, que não comentou publicamente sobre o incidente, sabe quais clientes foram afetados. Quando contatados por e-mail antes da publicação, os porta-vozes da Fortra, Mike Devine e Rachel Woodford, não comentaram ou forneceram respostas a nenhuma de nossas perguntas, incluindo se os sistemas GoAnywhere internos da Fortra que hospedam os dados dos clientes também foram atingidos pelo hack em massa.
Os detalhes só vieram à tona em 2 de fevereiro, depois que o repórter de segurança independente Brian Krebs relatou pela primeira vez os detalhes do bug, que o Fortra havia escondido atrás de uma tela de login em seu site. A Fortra lançou correções de segurança para o GoAnywhere cinco dias depois, em 7 de fevereiro.
Até então, os hackers já haviam roubado resmas de dados de inúmeras vítimas.
A gigante da saúde Community Health Systems , um dos maiores provedores de saúde nos Estados Unidos, foi a primeira a confirmar que foi uma das 130 supostas empresas vítimas do hack, dizendo que pelo menos 1 milhão de pacientes tiveram suas informações de saúde roubadas de seus afetados Sistema GoAnywhere. O gigante financeiro digital Hatch Bank foi o próximo a confirmar uma violação ligada ao bug GoAnywhere, então o gigante da segurança cibernética Rubrik . A lista continua a crescer.
Empresas listadas negam roubos de dados
Não está claro se Clop já sabe quais dados roubou em seu esmagamento e captura digital. O TechCrunch contatou algumas das organizações conhecidas por usar o GoAnywhere que foram recentemente adicionadas ao site de vazamento de Clop. Vários responderam dizendo que não foram afetados.
A startup de software de pagamento AvidXchange, uma das últimas adições da Clop, disse ao TechCrunch que, embora use o GoAnywhere para transferir arquivos para uma empresa específica que imprime seus cheques, a empresa não armazena nenhum dado na plataforma da Fortra.
“Nossos forenses provam ainda mais nossa conclusão sobre este assunto”, disse Olivia Sorrells, porta-voz da AvidXchange. “A Fortra notificou a AvidXchange sobre a vulnerabilidade, correção e os resultados de sua investigação sobre a conta GoAnywhere da AvidXchange na semana em que a [vulnerabilidade] foi anunciada”, disse o porta-voz. “O GoAnywhere colocou a instância do AvidXchange offline assim que o GoAnywhere tomou conhecimento do incidente para impedir ainda mais o acesso não autorizado à plataforma.”
O site de vazamento de Clop diz que os dados do AvidXchange estão “chegando em breve”.
A gigante da loja de departamentos Saks Fifth Avenue, que foi adicionada ao site de vazamento de Clop esta semana, disse ao TechCrunch que os hackers exploraram a falha do GoAnywhere para roubar dados falsos de clientes de seus sistemas. “Os dados falsos do cliente não incluem informações reais do cliente ou do cartão de pagamento e são usados apenas para simular pedidos de clientes para fins de teste”, disse o porta-voz da Saks, Nicola Schoenberg.
Várias outras organizações recentemente adicionadas ao site de Clop se recusaram a comentar quando perguntadas se seus sistemas GoAnywhere – a maioria acredita-se que sejam hospedados pelo Fortra – foram afetados.
Isso inclui a gigante farmacêutica suíça Galderma, cujo porta-voz, Christian Marcoux, se recusou a responder às nossas perguntas; provedora de call center de assistência médica ITx Companies, cujo CEO Philip Gower se recusou a comentar; a startup de saúde mental infantil Brightline, cujo CEO Naomi Allen cedeu ao porta-voz John O’Connor, que se recusou a comentar; o planejador de eventos Emerald Expositions, cuja porta-voz Beth Cowperthwaite se recusou a comentar; e MedMinder, cujo porta-voz Stacy Clougherty disse que a MedMinder está “ciente das alegações”, mas se recusou a comentar mais enquanto a empresa investiga.
Nenhuma das empresas contestou que são clientes da GoAnywhere.
A Clop divulgou amostras de dados supostamente roubados da Onex, vistos pelo TechCrunch, incluindo formulários fiscais W-9, ordens de pagamento e informações de funcionários, incluindo nomes, gênero e endereços de e-mail. A Onex não retornou os pedidos de comentários.
Uma das organizações identificadas pelo TechCrunch como cliente do GoAnywhere, mas ainda não listada pela Clop, é a cidade de Toronto, que disse não ter sido afetada pelo hack em massa. “A cidade e o Fortra realizaram uma revisão e determinaram que não houve vazamento de dados internos, nem dados dos residentes”, disse o porta-voz da cidade, Ashika Theyyil.
Outros usuários identificados do GoAnywhere não responderam a vários pedidos de comentários, incluindo o provedor canadense de reabilitação e saúde mental Homewood Health, o provedor de habitação popular Guinness Partnership, com sede na Inglaterra, o banco de varejo Avidia Bank, Medex Healthcare, Cornerstone Home Lending e o gigante colombiano de energia Grupo Vanti .
Fonte leia mais: https://techcrunch.com/2023/03/22/fortra-goanywhere-ransomware-attack/
