Violación de datos de MOVEit en 2023

Serie de ciberataques que explotan vulnerabilidad en el software de Progress Software

Una ola de ciberataques y violaciones de datos comenzó en junio de 2023 después de que se descubriera una vulnerabilidad en MOVEit , un software de transferencia de archivos administrado .

Fondo

MOVEit es un software de transferencia de archivos administrado desarrollado por Ipswitch, Inc. , una subsidiaria de Progress Software .

Metodología

Una vulnerabilidad en MOVEit permite a los atacantes robar archivos de organizaciones a través de inyección SQL en servidores públicos. Las transferencias se facilitan a través de un shell web personalizado identificado como LemurLoot. LemurLoot, disfrazado como archivos ASP.NET utilizados legítimamente por MOVEit, puede robar información de blobs de almacenamiento de Microsoft Azure . ^[1]

Descubrimiento

Según la firma de ciberseguridad Mandiant , la vulnerabilidad MOVEit comenzó a utilizarse el 27 de mayo de 2023. ^[1]

Responsabilidad

Según la Agencia de Seguridad Cibernética y de Infraestructura y la Oficina Federal de Investigaciones , las infracciones están siendo llevadas a cabo por Cl0p , una banda cibernética afiliada a Rusia. ^[2]

Impacto

El 3 de junio, el Gobierno de Nueva Escocia estimó que alrededor de 100.000 empleados actuales y pasados ​​se vieron afectados por la filtración de datos. ^[3]

El 5 de junio, varias organizaciones en el Reino Unido, incluidas la BBC , British Airways , Boots , Aer Lingus y el servicio de nóminas Zellis, fueron violadas. ^[4] El 12 de junio, Ernst & Young , Transport for London y Ofcom anunciaron por separado que habían sido afectados, y Ofcom anunció que se había descargado información personal y confidencial. ^[5]

El 15 de junio, CNN informó que el Departamento de Energía de los Estados Unidos se encontraba entre las múltiples organizaciones gubernamentales de ese país afectadas por la vulnerabilidad de MOVEit. ^[6] Al día siguiente, se informó que la Oficina de Vehículos Motorizados de Luisiana y los Servicios para Conductores y Vehículos Motorizados de Oregón se vieron afectados, lo que afectó a millones de residentes. ^[7]

Un total actualizado mantenido por la empresa de ciberseguridad Emsisoft mostró que, al 25 de octubre de 2023, se sabía que más de 2500 organizaciones se habían visto afectadas, y más del 80 por ciento de esas organizaciones tenían su sede en Estados Unidos. ^[8]

Respuesta

El equipo de MOVEit ha trabajado con expertos de la industria para investigar el incidente del 31 de mayo. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), ^[9] CrowdStrike , ^[10] Mandiant , ^[11] Microsoft , ^[12] Huntress ^[13] y Rapid7 ^[14] han colaborado con la respuesta al incidente y las investigaciones en curso. ^[15] Los expertos de la industria cibernética han reconocido al equipo de MOVEit por su respuesta y manejo del incidente al proporcionar rápidamente parches, así como avisos periódicos e informativos que ayudaron a respaldar una rápida remediación. ^{[16] [17] [18]}

Referencias

1. Goodin, Dan (5 de junio de 2023). "La explotación masiva de la falla crítica de MOVEit está arrasando organizaciones grandes y pequeñas". Ars Technica . Consultado el 15 de junio de 2023 .
2. Montague, Zach (15 de junio de 2023). "Un grupo de ransomware ruso vulneró la seguridad de agencias federales en un ciberataque". The New York Times . Consultado el 15 de junio de 2023 .
3. "Alertas e información sobre violaciones de la privacidad". Seguridad cibernética y soluciones digitales de Nueva Escocia . 4 de junio de 2023. Consultado el 25 de junio de 2023 .
4. Tidy, Joe (5 de junio de 2023). "Hackeo de MOVEit: BBC, BA y Boots entre las víctimas de ciberataques". BBC . Consultado el 15 de junio de 2023 .
5. Vallance, Chris (12 de junio de 2023). "Hackeo de MOVEit: el organismo de control de los medios Ofcom, la última víctima de un hackeo masivo". BBC . Consultado el 15 de junio de 2023 .
6. Lyngaas, Sean (15 de junio de 2023). "Agencias gubernamentales de Estados Unidos afectadas por un ciberataque global". CNN . Consultado el 15 de junio de 2023 .
7. Lyngaas, Sean (16 de junio de 2023). «Millones de datos personales de estadounidenses expuestos en un ataque cibernético global». CNN . Consultado el 15 de junio de 2023 .
8. Descifrando la brecha de seguridad de MOVEit: estadísticas y análisis
9. "#StopRansomware: la banda de ransomware CL0P explota la vulnerabilidad CVE-2023-34362 de MOVEit". 7 de junio de 2023 . Consultado el 7 de junio de 2023 .
10. Lioi, Tyler; Palka, Sean (5 de junio de 2023). "Movin' Out: Identificación de la exfiltración de datos en las investigaciones de transferencia de MOVEit" . Consultado el 5 de junio de 2023 .
11. Zaveri, Nader; Kennelly, Jeremy; Stark, Genevieve (2 de junio de 2023). "Vulnerabilidad de día cero en MOVEit Transfer explotada para robo de datos" . Consultado el 2 de junio de 2023 .
12. "@MsftSecIntel". 4 de junio de 2023. Consultado el 4 de junio de 2023 .
13. Hammond, John (1 de junio de 2023). «Respuesta rápida a la vulnerabilidad crítica de transferencia MOVEit CVE-2023-34362» . Consultado el 1 de junio de 2023 .
14. Condon, Caitlyn (1 de junio de 2023). "Rapid7 observó la explotación de una vulnerabilidad crítica de transferencia MOVEit" . Consultado el 1 de junio de 2023 .
15. Kapko, Matt (14 de junio de 2023). «Cronología del exploit masivo MOVEit: cómo el servicio de transferencia de archivos ataca a las víctimas enredadas» . Consultado el 26 de junio de 2023 .
16. Starks, Tim (7 de junio de 2023). "Los ciberdefensores responden al ataque a una herramienta de transferencia de archivos". The Washington Post . Consultado el 7 de junio de 2023 .
17. "Dentro del ataque MOVEit: descifrando las tácticas, procedimientos y procedimientos de Clop y empoderando a los profesionales de la ciberseguridad". 4 de julio de 2023. Consultado el 4 de julio de 2023 .
18. Stone, Noah (20 de julio de 2023). «Una nueva investigación revela una rápida remediación de las vulnerabilidades de MOVEit Transfer». BitSight . Consultado el 20 de julio de 2023 .