La amenaza crece en torno a la explotación. de una falla crítica en una reconocida herramienta de transferencia de archivos administrada, Moveit Transfer. En efecto, el grupo de ransomware Clop lo utiliza masivamente contra varias empresas. Un informe de SentinelOne enumera una veintena de empresas que cayeron en la trampa de la banda. Son varios los sectores afectados: aviación, transporte, logística, entretenimiento, servicios financieros, seguros, salud, productos farmacéuticos, manufactura, medios de comunicación, TI y servicios públicos.

En las afirmaciones del grupo Clop en su sitio, explica haber borrado datos exfiltrados pertenecientes a gobiernos, municipios o servicios policiales. La razón declarada es que "no tiene ningún interés en exponer dicha información". Sin duda, una manera de evitar atraer la ira de ciertos Estados, en particular de los Estados Unidos.

Índice
  1. Un grupo muy activo y técnicamente avanzado.
  2. Campañas de identificación muy temprana

Un grupo muy activo y técnicamente avanzado.

La pandilla Clop, también conocida como TA505 en la industria de la seguridad, ha estado involucrada en la distribución de ransomware y la extorsión desde 2019. Según un aviso de CISA, hasta la fecha, el grupo ha comprometido a más de 3.000 empresas en los Estados Unidos y más de 8.000 en todo el mundo. . Además de operar el ransomware como servicio Clop, el grupo también actuó como intermediario de acceso inicial (IAB), vendiendo acceso a redes corporativas comprometidas a otros grupos. y operaba una gran botnet especializada en fraude financiero y phishing. El desarrollo de tres exploits de día cero para dispositivos Accellion File Transfer Appliance (FTA) en 2020 y 2021, los servidores Fortra/Linoma GoAnywhere MFT a principios de 2023 y ahora la aplicación Moveit, demuestran competencia técnica y recursos grupales.

También ha desarrollado un conjunto de herramientas de malware diverso y webshells personalizados para estos ataques en lugar de depender de herramientas de código abierto disponibles en el mercado, como otros grupos de extorsión dirigidos a servidores web. . "Los actores de extorsión centrados en la nube como Bianlian y Karakurt utilizan herramientas versátiles de administración de archivos como Rclone y Filezilla", explicaron los investigadores de SentinelOne. “Un webshell personalizado diseñado para robar archivos de Azure a través de consultas SQL específicas para el entorno objetivo representa una desviación notable de esta práctica establecida y sugiere que la herramienta probablemente fue desarrollada y probada mucho antes de los ataques ITW (In-the-Wild) realizados en el mundo real”, agregaron.

Campañas de identificación muy temprana

SentinelOne observa una tendencia de exploits de día cero y día N en aplicaciones de transferencia de archivos ejecutadas por empresas, siendo otro ejemplo la explotación de una falla de deserialización en el software de intercambio de archivos IBM Aspera Faspex en marzo que llevó a la implementación del ransomware IceFire. "Es probable que exista un abundante ecosistema de desarrollo de exploits centrado en aplicaciones de transferencia de archivos empresariales", concluyeron los investigadores en su informe. Aún más preocupante es que entre los objetivos del exploit Moveit, SentinelOne encontró MSP y MSSP, TI administrada o proveedores de servicios de seguridad. Este tipo de empresas son objetivos de gran valor para los grupos de ransomware porque potencialmente contienen datos útiles para acceder a muchas otras empresas.

Mientras monitoreaba sus honeypots, la compañía de seguros cibernéticos Coalition notó un aumento en el tráfico el 15 de mayo en la ruta legítima /human.aspx de las implementaciones de Moveit Transfer, lo que indica que los atacantes probablemente estaban realizando un reconocimiento. para establecer una lista de objetivos. Según Caitlin Condon, jefa de investigación de seguridad de Rapid7, el primer ataque confirmado se registró el 27 de mayo, cuatro días antes de que el exploit se hiciera público, y los atacantes normalmente tenían entre 24 y 48 horas de tiempo de espera. para extraer los datos. Desde su divulgación pública, Rapid7 ha experimentado un aumento en los parches y una desaceleración en el número de intentos de explotación. El informe SentinelOne contiene consultas de búsqueda de amenazas que las organizaciones pueden utilizar para buscar actividad asociada con estos ataques en sus entornos, y el aviso CISA contiene reglas de detección de YARA e indicadores de compromiso.