As agências do governo federal dos EUA estavam entre os alvos do ataque global de ransomware direcionado ao software de transferência de arquivos MOVEit.
A Progress Software Corp., que criou o MOVEit, alertou sobre uma terceira e nova vulnerabilidade crítica de software que pode permitir que agentes mal-intencionados “assumam o controle de um sistema afetado”, informou a Agência de Segurança Cibernética e de Infraestrutura dos EUA. compartilhado ontem (15 de junho).
O Departamento de Energia dos EUA está entre os que foram violados na campanha global de hackers em andamento, disse um porta-voz do departamento. confirmado à CNNditado: “O Departamento notificou o Congresso e está trabalhando com a aplicação da lei, CISA e entidades afetadas para investigar o incidente e mitigar os impactos da violação”, disse o porta-voz em comunicado.
instituição de pesquisa sem fins lucrativos Universidades parceiras de Oak Ridge e um empreiteiro afiliado à a Planta Piloto de Isolamento de Resíduos (WIPP), uma instalação de armazenamento de lixo radioativo localizadas em Carlsbad, Novo México, foram as duas entidades do Departamento de Energia que foram hackeadas, de acordo com o rede de notícias federal. A Administração de Segurança de Transporte e o Departamento de Estado disseram que ambos não foram vítimas do ataque, informou a CNN.
Uma notória gangue de ransomware CLOP, Lace Tempest, está supostamente por trás do ataque, que começou há cerca de duas semanas, explorando outras fraquezas no mesmo software e exigindo pagamento das empresas afetadas em troca da liberação de seus dados. Em uma mensagem publicada em seu site, o grupo prometeu remover todos os dados do governo.
Um grande número:
2.500: Instâncias do MOVEit Transfer expostas ao público na Internet a partir de 31 de maio, a maioria das quais parece estar nos Estados Unidos.
Uma breve linha do tempo dos hacks do MOVEit
31 de maio: A Progress Software publica um consultivo aviso de uma vulnerabilidade crítica de injeção de SQL (uma linguagem de programação) em seu MOVEit Transfer e MOVEit Cloud, que permite que invasores remotos obtenham acesso não autorizado ao seu banco de dados.
5 de junho: Microsoft atributos ataques ao agente de ameaças Lace Tempest, conhecido por operações de ransomware usando o malware CLOP.
9 de junho: software de progresso lançar um novo patch para a antiga vulnerabilidade, bem como uma segunda vulnerabilidade de injeção SQL.
14 de junho: O prazo que os hackers estabelecem para que as entidades os contatem e negociem um resgate. As organizações que entrarem em contato terão uma prova de que a quadrilha tem seus dados e terão três dias para discutir um preço para remover esses dados, o grupo eu tinha dito antes.
15 de junho: Progresso revela uma terceira vulnerabilidade e o grupo de ransomware começa a publicar os nomes das pessoas afetadas pelo hack, de acordo com a bbc.
Citable: Organizações que não usaram o MOVEit ainda podem ser hackeadas
“Mesmo que uma empresa não use o MOVEit Transfer, um terceiro confiável (fornecedor, parceiro, etc.) pode. Se o sistema MOVEit desse terceiro confiável foi violado, isso pode significar que pode ter ocorrido uma violação dos dados confidenciais da empresa original.”—Tyler HudackLíder da prática de resposta a incidentes na consultoria de segurança da informação TrustedSec.
Uma lista não exaustiva de entidades no ataque MOVEit
🏘️ Em Minnesota, hackers roubaram arquivos que incluíam aproximadamente 95.000 nomes de estudantes colocados em lares adotivos em todo o estado.
🔬 A Universidade Johns Hopkins de Baltimore e seu renomado sistema de saúde foram afetados por ataque de segurança cibernéticaque “afetaram informações pessoais e financeiras sensíveis, [including names, contact information, and health billing records.]”
💸 O provedor de serviços de folha de pagamento do Reino Unido, Zellis, foi vítima hackeada. Detalhes expostos do modelo de várias empresas incluindo a britânica BBC, a cadeia de farmácias Boots e a British Airways. Até 100.000 funcionários podem ter sido afetados.
📡 O regulador de comunicações do Reino Unido, Ofcom, disse hackers roubaram uma “quantidade limitada de informações sobre certas empresas que regulamos, algumas das quais são confidenciais, junto com detalhes pessoais de 412 funcionários da Ofcom.”
🏕️ A Landal GreenParks, uma empresa holandesa de camping e recreação, disse que a quadrilha acessou dados de hóspedes, incluindo nomes e detalhes de contato de cerca de 12.000 pessoas.
🛢 A gigante do petróleo Shell reconheceu a violação, mas disse que havia “não há evidência de impacto nos principais sistemas de TI da Shell” e a Shell “não se comunica com hackers”.
🚖 Transporte para Londres alertou cerca de 13.000 motoristas nos bancos de dados Ulez e Congestion Charge que seus dados foram roubados.
🇨🇦 Nova Escócia, uma província canadense, viu os dados pessoais de mais de 130.000 pessoasincluindo números de previdência social, endereços e informações bancárias, roubados de centros educacionais regionais, do conselho escolar francófono, contas de água e impostos com o município local e muito mais.
Um pouco mais sobre hackers usando CLOP ransomware
A gangue de hackers conhecida por usar o ransomware CLOP foi descoberta pela primeira vez em 2019, há muito tempo no mundo cibernético em constante mudança, mas é conhecida na comunidade de segurança cibernética por muitos nomes além de Lace Tempest, incluindo Dungeon Spider e FIN11.
Em junho de 2021, a aplicação da lei ucraniana prenderam meia dúzia de membros de gangues e equipamento apreendido incluindo computadores, carros Tesla e Mercedes e dinheiro. O grupo ficou em silêncio entre novembro de 2021 e início de 2022, mas é fez um retorno de.
O notório grupo é conhecido por manter os dados em troca de resgates multimilionários. Ele usa um método de “extorsão dupla”, no qual vaza dados confidenciais das organizações antes da criptografia e fornece condições de pagamento para pressionar as vítimas a pagar o resgate. Se as vítimas não pagarem, os adversários divulgam os dados.
Porém, desta vez, o grupo alegou que vai deletar todos os dados do governo, e nesse sentido, não pediram resgate. “Se você é um serviço governamental, municipal ou policial, não se preocupe, nós apagamos todos os seus dados. Você não precisa entrar em contato conosco. Não temos interesse em expor essas informações”, disseram os hackers. escreveu em um comunicadocitado pela CNN.
Histórias relacionadas
💰 Um cybergangue russo ameaça publicar os dados da folha de pagamento de 100.000 pessoas
🛬 Hackers pró-Rússia atacaram agência de tráfego aéreo da Europa
✌️ Os Estados Unidos reivindicaram uma vitória cibernética contra uma rede de malware russa
