O grupo de ransomware Clop assumiu a autoria dos ataques de roubo de dados do MOVEit Transfer, software de transferência segura de dados confidenciais usado por grandes empresas ao redor do mundo. Os hackers exploraram uma vulnerabilidade de dia zero para violar os servidores de várias empresas e roubar dados.
O Clop confirmou ainda que começou a explorar a vulnerabilidade em 27 de maio, durante o feriado prolongado do Memorial Day nos EUA, conforme divulgado anteriormente pela Mandiant. A realização de ataques em feriados é uma tática comum do grupo de ransomware Clop, que já realizou ataques de exploração em larga escala durante feriados, quando as equipes de segurança estão com o mínimo de funcionários. Eles exploraram, por exemplo, uma vulnerabilidade semelhante de dia zero do Accellion FTA em 23 de dezembro de 2020, para roubar dados logo no início do feriado de Natal.
Embora Clop não compartilhe o número de organizações violadas nos ataques do MOVEit Transfer, o grupo disse que as vítimas seriam exibidas em seu site de vazamento de dados se um resgate não fosse pago, embora ainda não tenha começado a extorquir as vítimas, provavelmente usando o tempo para revisar dados e determinar o que é valioso e como poderia ser usado para alavancar um pedido de resgate de empresas violadas. Nos recentes ataques GoAnywhere MFT, o Clop esperou mais de um mês para enviar pedidos de resgate por e-mail às organizações.
A equipe doSophos X-Ops publicou um material sobre o incidente, fornecendo mais detalhes sobre a situação, bem como orientações e recomendações, que podem ser conferidas aqui. Além disso, a empresa de segurança cibernética produziu um artigo sobre o caso e disponibilizou para leitura no blog Naked Security.
Veja isso
Grupo hacker FIN7 retorna com ataques do ransomware Clop
Hitachi Energy é novo alvo do Clop, que usa bug no GoAnywhere
“Essa última onda de golpes é mais um lembrete da importância da segurança da cadeia de suprimentos. Embora o Clop tenha sido associado a essa exploração ativa, é provável que outros grupos de ameaças também estejam preparados para se aproveitar dessa falha”, disse John Shier, CTO de campo da Sophos. “Qualquer empresa que esteja usando ou tenha parceiros da cadeia de suprimentos que usam o software MOVEit Transfer precisa desativá-lo imediatamente, isolar todas as máquinas que ainda possam estar executando-o do restante da rede, aplicar o patch de atualização e investigar possíveis comprometimentos”, aconselhou ele.
“Como os ataques começaram antes de um patch de atualização estar disponível, todos os clientes da MOVEit devem verificar se há sinais de comprometimento além daqueles discutidos publicamente, pois os ataques podem ter ocorrido por meio de métodos ainda não identificados publicamente. Além disso, é importante observar que o patch não removerá nenhum webshell ou outros artefatos de violação. Isso torna crítico que os clientes da MOVEit incluam uma verificação de comprometimento após a implantação de patches. O patch por si só não é suficiente”, completou Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.