WASHINGTON/SAN FRANCISCO, 8 de agosto (Reuters) – Uma violação de cabeça de hidra centrada em um único fabricante de software americano comprometeu dados em mais de 600 organizações em todo o mundo, de acordo com contagens de analistas cibernéticos corroboradas pela Reuters.
Porém, mais de dois meses depois que a violação foi divulgada pela Progress Software, com sede em Massachusetts, o desfile de vítimas mal diminuiu. As contagens mostram que quase 40 milhões de pessoas foram afetadas até agora pelo hack do programa de gerenciamento de arquivos MOVEit Transfer da Progress. Agora, os extorsionários digitais envolvidos, um grupo chamado “cl0p”, tornaram-se cada vez mais agressivos em colocar seus dados no domínio público.
“Estamos apenas no estágio inicial disso”, disse Marc Bleicher, diretor de tecnologia da empresa de resposta a incidentes Surefire Cyber. “Acho que começaremos a ver o impacto real e as consequências no futuro”.
O MOVEit é usado por organizações para enviar grandes quantidades de dados geralmente confidenciais: informações sobre pensões, números de previdência social, registros médicos, dados de cobrança e afins. Como muitas dessas organizações estavam lidando com dados em nome de outras pessoas, que por sua vez obtiveram os dados de terceiros, o hack se expandiu de maneiras às vezes complicadas.
Por exemplo, quando o cl0p subverteu o software MOVEit usado por uma empresa chamada Pension Benefit Information, especializada em localizar familiares sobreviventes de detentores de fundos de pensão, eles obtiveram acesso aos dados da Teachers Insurance and Annuity Association of America, com sede em Nova York, que, por sua vez, administra programas de pensão para 15.000 clientes institucionais, muitos dos quais passaram as últimas semanas notificando os funcionários sobre sua exposição.
“Existe esse efeito dominó”, disse John Hammond, da Huntress Security, um dos primeiros pesquisadores a começar a rastrear a violação.
Hacks de grupos como cl0p ocorrem com uma regularidade entorpecente. Mas a grande variedade de vítimas do compromisso do MOVEit, de estudantes de escolas públicas de Nova York a motoristas da Louisiana e aposentados da Califórnia, tornou-o um dos exemplos mais visíveis de como uma única falha em um software obscuro pode desencadear um desastre global de privacidade. .
Christopher Budd, especialista em segurança cibernética da empresa britânica Sophos, disse que a violação foi um lembrete de como as organizações interdependentes estavam nas defesas digitais umas das outras.
A Progress disse que foi vítima de “um grupo cibercriminoso avançado e persistente” e que seu foco era apoiar seus clientes.
‘MILHARES DE EMPRESAS’
A campanha de hacking da Cl0p começou em 27 de maio, de acordo com duas pessoas familiarizadas com a investigação da Progress.
A Progress ficou sabendo do comprometimento no dia seguinte, quando um cliente alertou a empresa sobre uma atividade anômala, disseram essas fontes. Em 30 de maio, a empresa enviou um aviso e, no dia seguinte, emitiu um “patch”, ou reparo, que frustrou parcialmente a campanha dos hackers.
“Muitas organizações foram, de fato, capazes de implantar o patch antes que ele pudesse ser explorado”, disse Eric Goldstein, funcionário sênior da Agência de Segurança Cibernética e Infraestrutura dos EUA.
Nem todas as organizações tiveram tanta sorte. Detalhes sobre a quantidade de material roubado ou o número de organizações afetadas não estão disponíveis publicamente, mas Nathan Little, cuja empresa Tetra Defense – parte da empresa de segurança Arctic Wolf – respondeu a dezenas de incidentes relacionados ao MOVEit, estimou que a violação provavelmente afetou milhares de empresas.
“Podemos nunca saber o número detalhado exato”, disse ele.
Alguns analistas tentaram acompanhar. Até terça-feira, a empresa de segurança cibernética Emsisoft totalizou 602 vítimas , com 39,7 milhões de pessoas afetadas.
O analista de TI alemão Bert Kondruss apresentou números semelhantes , que a Reuters corroborou ao compará-los com declarações públicas, arquivos corporativos e postagens do cl0p.
QUEM FOI EXPOSTO?
Organizações educacionais – faculdades, universidades e até mesmo escolas públicas da cidade de Nova York – representaram um quarto das vítimas, com a Emsisoft e a Kondruss contabilizando mais de 100 somente nos Estados Unidos.
A exposição foi muito além da academia.
Dirigir um carro? As autoridades de trânsito da Louisiana e do Oregon divulgaram coletivamente o comprometimento de cerca de 9 milhões de registros. Aposentado? Organizações de administração de pensões, como o Sistema de Aposentadoria dos Funcionários Públicos da Califórnia e a T. Rowe Price, foram violadas por meio de informações sobre benefícios de pensão. Somente a violação da empresa contratada pelo governo dos EUA, Maximus, resultou no comprometimento de registros de 8 a 11 milhões de pessoas.
Um tênue forro de prata? Os hackers podem ter ingerido muitos dados para liberar tudo.
Alexander Urbelis, consultor sênior do escritório de advocacia Crowell & Moring, com sede em Nova York, que ajudou as vítimas a avaliar sua exposição à rede de hackers, disse que as velocidades de download extraordinariamente lentas do site darknet dos hackers “tornaram tudo menos impossível para qualquer um” – seja bem-intencionado ou não – “para acessar os dados roubados”.
Goldstein, o funcionário dos EUA, disse que “em muitos casos” os dados ainda não vazaram.
O Cl0p, que não retornou as mensagens da Reuters, parece estar tentando melhorar seu jogo. No final do mês passado, ela criou sites especificamente destinados a divulgar melhor os dados roubados. No início desta semana, começou a compartilhar os dados por meio de redes ponto a ponto.
Isso é uma má notícia para as vítimas, disse Bleicher da Surefire.
“Uma vez que esses dados começam a vazar lentamente, eles aparecem mais no subsolo”, disse ele. O impacto da violação, por sua vez, “provavelmente ficará muito maior do que pensamos agora”.
FONTE: REUTERS