Ransomware-1.jpg

Grupo Clop diz ter violado 130 empresas usando o GoAnywhere

Gangue afirma estar por trás de ataques recentes que exploraram uma vulnerabilidade de dia zero na ferramenta segura de transferência de arquivos GoAnywhere MFT da Fortra
Da Redação
12/02/2023

A gangue que opera o ransomware Clop afirma estar por trás de ataques recentes que exploraram uma vulnerabilidade de dia zero na ferramenta segura de transferência de arquivos GoAnywhere MFT da Fortra (ex-HelpSystems). Os hackers dizem ter roubado dados de mais de 130 organizações.

A falha de segurança, rastreada como CVE-2023-0669, permite que invasores obtenham execução remota de código (RCE) em instâncias GoAnywhere MFT não corrigidas, com seu console administrativo exposto ao acesso na internet.

Os operadores do Clop entraram em contato com o BleepingComputer e disseram que roubaram os dados ao longo de dez dias após violar servidores vulneráveis. Eles também alegaram que poderiam se mover lateralmente pelas redes das vítimas e implantar cargas de ransomware para criptografar os sistemas, mas decidiram contra isso e apenas roubaram os documentos armazenados nos servidores GoAnywhere MFT comprometidos. A gangue se recusou a fornecer provas ou compartilhar detalhes adicionais sobre suas reivindicações.

Na semana passada, a Fortra divulgou a seus clientes que a vulnerabilidade estava sendo explorada como um dia zero. Na segunda-feira, 6, uma exploração de prova de conceito também foi lançada online, permitindo a execução remota de código (RCE) não autenticado em servidores vulneráveis. A empresa emitiu atualizações de segurança de emergência no dia seguinte para permitir que os clientes protejam seus servidores contra tentativas de ataque.

Desde então, a Fortra publicou outra atualização em seu site de suporte — acessível somente após o login com uma conta de usuário — na quinta-feira, 9, dizendo que algumas de suas instâncias MFTaaS também foram violadas nos ataques. “Determinamos que uma parte não autorizada acessou os sistemas por meio de uma exploração anteriormente desconhecida e criou contas de usuário não autorizadas”, disse a Fortra.

Como parte das ações para resolver isso, a Fortra disse que implementou uma interrupção temporária do serviço. O serviço continua a ser restaurado cliente a cliente, à medida que a mitigação é aplicada e verificada em cada ambiente. “Estamos trabalhando diretamente com os clientes para avaliar seu impacto potencial individual, aplicar mitigações e restaurar sistemas.”

Veja isso
Variante Linux do ransomware Clop tem falhas, diz pesquisador
Gigante de serviços marítimos é atacada pelo ransomware Clop

A CISA também adicionou a vulnerabilidade, identificada como CVE-2023-0669 GoAnywhere MFT, ao seu catálogo de vulnerabilidades exploradas conhecidas na sexta-feira, 10, ordenando que as agências federais corrijam seus sistemas nas próximas três semanas, até 3 de março.

Embora Shodan mostre que mais de mil instâncias do GoAnywhere estão expostas online, apenas 135 estão nas portas 8000 e 8001 — as usadas pelo console de administração vulnerável. O suposto uso do GoAnywhere MFT de dia zero pelo Clop para roubar dados é uma tática muito semelhante à que eles usaram em dezembro de 2020, quando descobriram e exploraram uma vulnerabilidade de dia zero no Accellion FTA para roubar os dados de aproximadamente 100 empresas. Na época, as empresas recebiam e-mails exigindo pagamentos de resgate de US$ 10 milhões para evitar que seus dados fossem vazados.

Nos ataques ao Accellion, os operadores do Clop roubaram grandes quantidades de dados de empresas de alto perfil usando o File Transfer Appliance (FTA) herdado da Accellion.

Compartilhar: