0
0
As consequências do hack MOVEit Transfer via CVE-2023-34362 pela gangue Cl0p estão se expandindo, já que várias empresas com sede no Reino Unido já confirmaram que alguns de seus dados foram roubados.
Organizações vitimizadas
As vítimas confirmadas até agora são a Zellis, “fornecedora líder do Reino Unido e da Irlanda de soluções de folha de pagamento e RH para grandes empresas e organizações do setor público”, e, por meio dela (como lida com dados pertencentes a outras empresas), a British Airways, a BBC, a Aer Lingus e a Boots.
A Zellis tem muitas organizações de alto perfil como clientes, mas disse à BBC que os invasores fugiram com dados de oito de suas empresas clientes. Não revelou quais, mas disse que essas empresas foram notificadas e que, por sua vez, estão notificando seus funcionários. As informações roubadas incluem detalhes da conta bancária e dados pessoais, como números de seguro nacional.
Caitlin Condon, gerente sênior de pesquisa de segurança da Rapid7, disse à Help Net Security que a empresa respondeu aos alertas do MOVEit Transfer em uma ampla gama de organizações, de pequenas empresas a empresas com dezenas de milhares de ativos.
“Como outras empresas de inteligência observaram, não parece haver nenhum perfil vertical ou organizacional específico do alvo. As organizações afetadas até agora incluíram aquelas em tecnologia, seguros, manufatura, governo municipal, saúde e serviços financeiros. A quantidade de dados exfiltrados varia caso a caso, mas nossas equipes de serviços responderam a vários incidentes em que várias dezenas de gigabytes de dados foram roubados”, compartilhou.
A gangue Cl0p – que anteriormente usava ransomware, mas agora passou a apenas pegar dados confidenciais e ameaçar empresas de vazá-los on-line a menos que paguem – reivindicou o hack e disse ao BleepingComputer que já excluiu alguns dos dados roubados – ou seja, aqueles pertencentes a governos, militares e hospitais infantis. (Claro, não há como provar essas alegações conclusivamente.)
Outros grupos criminosos podem seguir o exemplo do Cl0p
Como relatamos anteriormente, há correções e mitigações disponíveis para os clientes do MOVEit Transfer, mas todas as organizações que tiveram a interface da web do MOVEit Transfer exposta na internet nos últimos 30 dias provavelmente encontrarão evidências de comprometimento.
Antes de limpar (removendo webshells descartados e artefatos relacionados) e atualizar o software, eles devem coletar logs para ver quais dados foram obtidos.
Atualizar ou mitigar a vulnerabilidade desabilitando todo o tráfego HTTP e HTTPs para seu ambiente de transferência MOVEit – conforme instruído pelo fabricante do software – deve ser feito rapidamente, porque outros grupos de ameaças também podem começar a explorar essa vulnerabilidade específica.
“Esta é a terceira vez que o grupo de ransomware Cl0p usa um dia zero em webapps para extorsão em três anos. Nos três casos, eram produtos com segurança na marca”, observou o pesquisador de segurança Kevin Beaumont. “Em termos de ameaças emergentes, espere mais disso, enquanto o Ocidente parece incapaz de aceitar a ameaça de grupos de ransomware.”
The question of software security
Wicus Ross, Senior Security Researcher at Orange Cyberdefense, Europe’s largest MSSP, says that it’s not a surprise that software like MOVEit Transfer is targeted as it’s designed to be exposed onto the internet and widely used by organizations located in the US and Europe.
“Atualmente, cerca de 1.500 servidores que executam o software podem ser identificados na Internet. Essa vulnerabilidade é simples de explorar, então esperamos que muitos desses servidores já estejam comprometidos, e muitas outras vítimas provavelmente virão”, disse ele à Help Net Security.
Ele também apontou que todos os fornecedores de software lutam contra vulnerabilidades de segurança, mas vulnerabilidades como essa podem ter consequências graves, que podem ser suportadas injustamente pelas vítimas que usam o software.
“Escrever um software seguro pode inflar os custos para um fornecedor, o que pode prejudicá-lo no mercado, então atalhos são frequentemente tomados. É assim que a “dívida de segurança” é acumulada e repassada ao longo da cadeia de suprimentos de software. Sempre que um fornecedor fizer um comprometimento deliberado da segurança, ou um erro de segurança honesto, as vítimas de um incidente de segurança cibernética resultante terão que absorver os custos. Esse padrão repetitivo está causando frustração crescente para empresas e profissionais de segurança”, acrescentou.
“Os usuários de software podem ter que perceber que o custo de um bom software é muito mais alto do que estamos acostumados, mas ao mesmo tempo muitos argumentam que os fornecedores devem ser responsabilizados por incidentes cibernéticos relacionados a defeitos em seus produtos. É claro que essa é uma ladeira escorregadia, pois esse tipo de segurança por meio de compliance e regulamentação está sujeita a gamificação e abuso. Assim, também foi proposto que alguma forma de indenização contra ações civis públicas poderia ser usada como incentivo para fornecedores que aderirem a boas práticas de desenvolvimento de software.
“Está claro que reduzir essas vulnerabilidades e mitigar o impacto que elas causam exigirá vontade política real e colaboração da indústria para garantir que todos se beneficiem de produtos projetados do zero com princípios de segurança sólidos.”
FONTE: HELPNET SECURITY