0
0
Uma vulnerabilidade em um serviço de transferência de arquivos comumente usado chamado GoAnywhere permitiu que o grupo Clop ransomware violasse cerca de 130 organizações. Semanas depois, ainda estão surgindo detalhes sobre o ataque generalizado.
Até agora, esses detalhes não vinham da Fortra, empresa-mãe da GoAnywhere. Tem sido a organização vítima fazendo manchetes com divulgações públicas de violação de dados. Os clientes GoAnywhere que divulgaram que foram violados por meio da vulnerabilidade de execução remota de código GoAnywhere MFT, rastreada sob CVE-2023-0669, até agora incluem Community Health Systems , Hatch Bank , empresa de segurança cibernética Rubrik, Hitachi Energy e a cidade de Toronto, que , quando somados, representam a exposição de milhões de dados privados de pessoas aos piores elementos cibercriminosos.
Os cibercriminosos do Clop estavam ansiosos para fornecer detalhes de sua campanha, alegando em seu site de vazamento que usaram a exploração ao longo de 10 dias para invadir mais de 130 empresas , de acordo com relatórios .
De sua parte, a Forta permaneceu publicamente quieta sobre o fluxo constante de divulgações. Mas hoje, deu à Dark Reading uma declaração com garantias de que está empenhada em ajudar seus clientes a navegar no que está evoluindo para uma crise de comunicações, bem como de segurança cibernética, para a empresa.
“Em 30 de janeiro de 2023, fomos informados de atividades suspeitas em certas instâncias de nossa solução GoAnywhere MFTaaS”, disse Fortra em comunicado emitido para Dark Reading. “Tomamos imediatamente várias medidas para resolver isso, incluindo a implementação de uma interrupção temporária deste serviço para evitar qualquer outra atividade não autorizada e o compartilhamento de orientações de mitigação, que incluem instruções para nossos clientes locais sobre a aplicação de um patch desenvolvido”.
A Fortra acrescentou que continua comprometida em apoiar seus usuários afetados.
“Estamos trabalhando diligentemente para notificar os clientes que podem ter sido afetados e nos coordenamos com a CISA para adicionar informações sobre essa vulnerabilidade ao catálogo CVE para ampliar o alcance das informações sobre esse problema”, acrescenta o comunicado do porta-voz da Fortra. “Estamos levando isso muito a sério e continuamos a ajudar nossos clientes a implementar medidas de mitigação para resolver esse problema.”
Comunicações da Fortra sob fogo
Os primeiros relatórios do dia zero do GoAnywhere foram compartilhados em 2 de fevereiro pelo site de notícias de segurança cibernética KrebsOnSecurity , que, depois de encontrar o aviso escondido atrás de uma página de login, simplesmente colou as informações para o público ver. Dias depois, um patch foi lançado pela Fortra. Apostando no atraso do patch, nos dias seguintes, os agentes de ameaças do ransomware Clop conseguiram tirar vantagem. Em 10 de fevereiro, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou o bug à sua lista de catálogo de vulnerabilidades exploradas conhecidas .
No entanto, as empresas continuaram a ser apanhadas na campanha em andamento. E, apesar das garantias da Fortra, analistas, especialistas e observadores de segurança cibernética criticam amplamente a falta de comunicação da empresa e a resposta lenta em oferecer orientação às vítimas e alvos. A superfície de ataque também é ampla, deve-se observar: de acordo com seu site, o GoAnywhere é usado em mais de 3.000 organizações para gerenciar documentos de todos os tipos. E de acordo com dados da Enlyft , a maioria delas são grandes organizações – com pelo menos 1.000 e muitas vezes mais de 10.000 funcionários – a maioria sediada nos Estados Unidos.
” Este não foi bem comunicado, desafiando até mesmo as melhores equipes de segurança a responder”, disse Heath Renfrow, co-fundador da Fenix24 à Dark Reading em resposta à declaração recém-emitida da Fortra. “Este é um bom exemplo de como é necessário que os profissionais de segurança tenham várias fontes de inteligência de ameaças – além de apenas seus provedores – para cobrir todas as bases. Dito isso, foi comunicado agora e qualquer pessoa que usar a solução deve corrigir imediatamente.”
A comunicação lenta pode ser especialmente prejudicial em um cenário de ataque à cadeia de suprimentos de software, disse Dirk Schrader, vice-presidente de pesquisa de segurança da Netwrix.
“Para evitar a evolução de um ataque à cadeia de suprimentos, é crucial que a primeira vítima da fila se comunique abertamente e detalhadamente sobre o que aconteceu”, observou ele por e-mail. “Isso ajuda outros elos desta cadeia a se prepararem para uma ameaça futura e minimiza possíveis danos. É provável que o ataque atual tenha sido acelerado devido a detalhes sobre este dia zero não terem sido divulgados em tempo hábil.”
Dark Reading pediu à Fortra uma resposta às críticas sobre como lidou com o incidente de segurança cibernética, mas não recebeu uma resposta. Enquanto isso, o cliente da Forta, a cidade de Toronto, quando questionado sobre suas comunicações com a Fortra sobre a violação, deu uma resposta simples por e-mail: “A Fortra tem se comunicado com a cidade e continua a fazê-lo”.
Esta não é a primeira vez que os usuários do ransomware Clop realizam uma violação em massa como essa. O FIN11, com sede na Rússia, usou o ransomware Clop em dezembro de 2020 para pular em uma falha semelhante de dia zero do Accellion.
FONTE: DARK READING