El reciente ataque masivo de ransomware perpetrado por el grupo Clop, el cual ha afectado a múltiples organizaciones, resalta la importancia de la educación digital en la prevención de ciberataques y la protección de datos sensibles.
En los últimos días, el grupo de ransomware Clop ha sido noticia por su explotación de una vulnerabilidad crítica en una popular herramienta corporativa de transferencia de archivos. Esta banda, vinculada a Rusia, ha estado aprovechando una falla de seguridad en MOVEit Transfer, una herramienta utilizada por empresas y corporaciones para compartir archivos grandes a través de internet, desde finales de mayo. Aunque la vulnerabilidad fue parcheada por Progress Software, la empresa desarrolladora de MOVEit, algunos de sus clientes fueron comprometidos antes de que se implementara la solución.
Aunque aún se desconoce el número exacto de víctimas, Clop publicó en su sitio web en la dark web una lista preliminar de organizaciones que aseguran haber hackeado gracias a la vulnerabilidad de MOVEit. Entre las víctimas se encuentran instituciones financieras y universidades estadounidenses como 1st Source y First National Bankers Bank, la firma de gestión de inversiones con sede en Boston, Putnam Investments, el parque recreativo con base en los Países Bajos, Landal Greenparks, y la gigante energética británica, Shell.
GreenShield Canada, una organización sin fines de lucro que brinda servicios de beneficios de salud y dental, también fue mencionada en el sitio de filtraciones, pero posteriormente fue eliminada.
Otros afectados incluyen al proveedor de software financiero Datasite, la organización educativa sin fines de lucro National Student Clearinghouse, el proveedor de seguros de salud estudiantil United Healthcare Student Resources, el fabricante estadounidense Leggett & Platt, la compañía suiza de seguros ÖKK y el Sistema Universitario de Georgia (USG).
Un portavoz de USG, que no proporcionó su nombre, informó a TechCrunch que la universidad está evaluando el alcance y la gravedad de esta posible exposición de datos y que, de ser necesario y de acuerdo con las leyes federales y estatales, se emitirán notificaciones a las personas afectadas.
Florian Pitzinger, portavoz de la compañía alemana de ingeniería mecánica Heidelberg, mencionada en la lista de víctimas de Clop, declaró a TechCrunch que la compañía está «plenamente consciente de su mención en el sitio web de Clop y del incidente relacionado con un software de proveedor». El portavoz agregó que el «incidente ocurrió hace unas semanas, fue contrarrestado de manera rápida y efectiva, y según nuestro análisis, no dio lugar a ninguna violación de datos».
Clop, al igual que otros grupos de ransomware, suele contactar a sus víctimas para exigir un rescate a cambio de descifrar o eliminar los archivos robados. Sin embargo, en este caso, el grupo decidió no comunicarse directamente con las organizaciones afectadas. En cambio, publicaron un mensaje de chantaje en su sitio web en la dark web, instando a las víctimas a ponerse en contacto con ellos antes del 14 de junio.
Hasta el momento, no se ha publicado ningún dato robado, pero Clop asegura a las víctimas que ha descargado «mucha» de su información.
Nuevas víctimas se han presentado en los últimos días. Diversas organizaciones, como la Universidad Johns Hopkins, han confirmado incidentes de ciberseguridad relacionados con el ataque masivo de MOVEit. La universidad afirmó que la brecha de datos pudo haber afectado información personal y financiera confidencial, como nombres, información de contacto y registros de facturación de salud.
La Ofcom, el organismo regulador de comunicaciones del Reino Unido, también confirmó que se había comprometido información confidencial en el ataque masivo de MOVEit. En un comunicado, el regulador confirmó que los hackers accedieron a datos sobre las empresas que regula, así como a información personal de 412 empleados de Ofcom.
Según la BBC, Transport for London (TfL), el organismo gubernamental responsable de los servicios de transporte de Londres, y la firma de consultoría global Ernst & Young también se vieron afectados. Ninguna de las organizaciones respondió a las preguntas de TechCrunch.
Se espera que en los próximos días y semanas se revelen muchas más víctimas, ya que aún se pueden encontrar miles de servidores MOVEit en internet, la mayoría de ellos ubicados en los Estados Unidos.
Investigadores también han informado que Clop podría haber estado explotando la vulnerabilidad de MOVEit desde 2021. La firma consultora de riesgos estadounidense Kroll indicó en un informe que, si bien la vulnerabilidad se hizo pública a finales de mayo, sus investigadores identificaron actividades que indicaban que Clop había estado experimentando formas de explotar esta vulnerabilidad en particular durante casi dos años.
«Este hallazgo ilustra el conocimiento sofisticado y la planificación que se requieren en eventos de explotación masiva como el ciberataque a MOVEit Transfer», afirmaron los investigadores de Kroll.
Cabe destacar que Clop también fue responsable de ataques masivos anteriores que explotaron fallas en la herramienta de transferencia de archivos GoAnywhere de Fortra y en la aplicación de transferencia de archivos de Accellion.
Con información de techcrunch.com
