0
0
Quando os nomes das primeiras vítimas conhecidas da exploração de dia zero do MOVEit começaram a circular em 4 de junho, a Microsoft vinculou a campanha ao grupo de ransomware Cl0p, que chama de “Tempestade de Lace”. Isso torna este apenas o mais recente de uma série de ataques cibernéticos muito semelhantes contra vários serviços de transferência de arquivos pela gangue.
Desde 1º de junho, quando a Progress Software anunciou uma vulnerabilidade de dia zero em seu programa de transferência de arquivos MOVEit, pesquisadores e organizações potencialmente afetadas têm tentado recuperar os pedaços. A análise da Mandiant sugeriu que os hackers começaram a explorar o dia zero já no sábado anterior, 27 de maio, enquanto a empresa de inteligência de ameaças Greynoise relatou ter observado “atividade de varredura para a página de login do MOVEit Transfer localizada em /human.aspx já em 3 de março de 2023”.
Só nas últimas 24 horas é que algumas vítimas notáveis desta campanha começaram a vir à tona. O governo da Nova Escócia está atualmente tentando avaliar quanto dos dados de seus cidadãos foram roubados, e uma violação na Zellis, uma empresa de folha de pagamento do Reino Unido, causou comprometimentos a jusante para alguns de seus clientes de alto perfil, incluindo a Boots, a BBC e a British Airways.
No que diz respeito à atribuição, desde 2 de junho, a Mandiant vinha tratando os perpetradores como um grupo potencialmente novo, com potenciais ligações com a gangue de crimes cibernéticos FIN11, conhecida por suas campanhas de ransomware e extorsão e status de afiliada da Clop. Um tweet publicado na noite de domingo pela Microsoft ofereceu uma conclusão mais definitiva:
“A Microsoft está atribuindo ataques que exploram a vulnerabilidade CVE-2023-34362 MOVEit Transfer 0-day ao Lace Tempest, conhecido por operações de ransomware e execução do site de extorsão Clop. O agente da ameaça usou vulnerabilidades semelhantes no passado para roubar dados e extorquir vítimas”, diz o tuíte.
“Este ator de ameaças é um que acompanhamos há anos”, diz a Microsoft ao Dark Reading. Eles são “um grupo bem conhecido responsável por um número significativo de ameaças ao longo dos anos. Lace Tempest (sobreposições c/ FIN11, TA505) é uma força dominante no cenário de ransomware e extorsão emergente.”
Como as organizações afetadas devem responder ao CVE-2023-34362
Para John Hammond, pesquisador sênior de segurança da Huntress que rastreou a vulnerabilidade na semana passada, a atribuição da Microsoft levanta grandes preocupações para as vítimas. “Não sei o que vai acontecer a seguir. Ainda não vimos nenhuma demanda de ransomware, extorsão ou chantagem. Não sei se estamos sentados à espera, ou o que virá a seguir”, questiona.
Em 2 de junho, a Progress Software emitiu um patch para CVE-2023-34362. Mas com evidências que sugerem que os invasores já estavam explorando isso já em 27 de maio, se não em 3 de março, simplesmente corrigir não é suficiente para que os clientes existentes sejam considerados seguros.
Por um lado, quaisquer dados já roubados podem e podem ser usados em ataques subsequentes. Como aponta a Microsoft, “houve dois tipos de vítimas de Lace Tempest. Primeiro são vítimas com um servidor explorado onde um shell da Web foi descartado (e potencialmente interagiu com para realizar reconhecimento). O segundo tipo são vítimas em que a Lace Tempest roubou dados.” Prevemos que seu próximo passo será a extorsão de vítimas que sofreram roubo de dados.”
No mínimo, Hammond aconselha que os clientes não apenas corrijam, mas também “passem por esses troncos, vejam quais artefatos estão lá, vejam se você pode remover quaisquer outros ganchos e garras. Mesmo se você corrigir o patch, verifique se o shell da Web foi removido e excluído. É uma questão de diligência aqui.”
Serviços de transferência de arquivos sob fogo cibernético
Nenhuma quantidade de limpeza do MOVEit resolverá um problema mais profundo e subjacente que parece estar circulando ultimamente: está claro que grupos de hackers identificaram serviços de transferência de arquivos como uma mina de ouro para crimes cibernéticos financeiros.
Há poucos meses, cibercriminosos invadiram o Aspera Faspex, da IBM. Um mês antes, a Cl0p executou uma campanha com impressionante semelhança com o esforço da semana passada, desta vez contra o serviço GoAnywhere da Fortra. Não foi nem mesmo a primeira incursão do Cl0p em violações de transferência de arquivos – anos antes, eles fizeram o mesmo com Accelion.
As empresas que trafegam dados confidenciais com esses serviços precisarão encontrar uma solução de longo prazo para o que está se tornando um problema endêmico. No entanto, não está claro exatamente qual será essa solução de longo prazo.
Hammond recomenda “tentar limitar sua superfície de ataque. Tudo o que pudermos fazer para reduzir softwares que não precisamos ou aplicativos que poderiam ser manipulados de uma maneira melhor e mais moderna. Essas, eu acho, talvez sejam as melhores palavras de conselho no momento, além de: patch.”
FONTE: DARK READING