Una pandilla de hackers vinculada a Rusia aprovechó vulnerabilidades en un software de transferencia de archivos para robar los datos de cientos de organizaciones en todo el mundo.

A finales de junio del 2023, la empresa estadounidense Progress, hizo sonar las alarmas de ciberseguidad en todo el mundo, tras descubrir que, durante los últimos dos meses, los hackers han aprovechado una serie de vulnerabilidades en su popular solución de software MOVEit Transfer, utilizada por miles de organizaciones para compartir grandes archivos y conjuntos de datos a través de Internet, para lanzar una ola masiva de ciberataques de robo de datos a los usuarios.

Desde entonces, al menos 33 organizaciones han confirmado ataques de robo de datos a través de la falla de seguridad en MOVEit, incluyendo el gigante energético Shell, la famosa cadena hotelera Radisson, los bancos First Merchants Bank y 1st Source Bank, así como la agencia inmobiliaria Jones Lang LaSalle y la empresa holandesa de GPS, TomTom.

Por si fuera poco, Brett Callow, analista de amenazas de ciberseguridad de Emsisoft, estima que la vulnerabilidad explotada en el servicio de transferencia de archivos ha afectado a más de 250 organizaciones desde que comenzaron los ataques masivos el mes pasado, lo que resulta en un total de más de 17 millones de personas afectadas entre usuarios, clientes, empleados, socios y más directa e indirectamente.

Clop aprovecha fallas en MOVEit para ciberataques masivos de robo de datos

El grupo de ransomware Clop, vinculado al gobierno de Rusia, es el responsable de los ciberataques masivos de robo de datos en MOVEit. La pandilla de hackers está extorsionando a las organizaciones y en caso de no conseguir nada a cambio publican su información en un portal de internet en la dark web.

Cabe recalcar que esta no es la primera vez que Clop aprovecha problemas de seguridad en una herramienta de transferencia de datos para realizar ataques masivos, por lo que sabe perfectamente como actuar.

En enero, el grupo de hackers se adjudicó una movida similar al aprovechar fallas en el sistema de GoAnywhere de Fortra, a través del cual se apuntaron el secuestro de información de más de 130 organizaciones.

Además de lo anterior, Clop también estuvo detrás de un ataque a otra popular herramienta de transferencia de archivos, Accellion, en 2021, la cual utilizó para lanzar múltiples ciberataques en contra de varias organizaciones, incluyendo la institución financiera Morgan Stanley, la Universidad de California, el minorista Kroger y el bufete de abogados Jones Day.

Los afectados denuncian ciberataques

Shell confirmó la semana pasada, mediante un breve comunicado que los hackers han logrado acceder a “algunas bases de datos que contienen información personal de los empleados” como resultado de la explotación de MOVEit. La compañía del sector energético no especificó qué datos fueron los que extrajeron los hackers, ni cuántas personas sufrieron de robo de información, sin embargo, la declaración sugiere que una buena parte de los 86 mil colaboradores de la compañía en distintas regiones del mundo fueron afectados.

Por su parte, la cadena hotelera internacional Radisson Hotels Americas, con más de mil establecimientos a nivel global, reveló que se encuentra entre las últimas víctimas después de aparecer en el sitio de filtraciones de la web oscura de Clop esta semana.

Moe Rama, un portavoz de Choice Hotels, empresa matriz de Radisson Hotels Group desde el año pasado, compartió que los hackers lograron acceder a una “cantidad limitada de información de registro de sus huéspedes”, pero se negó a decir exactamente cuántas personas se vieron afectadas y cuáles fueron los datos que se extrajeron.

Mientras tanto, First Merchants Bank, el banco ubicado al centro de Estados Unidos, también confirmó una violación de datos que repercutió en la pérdida de información confidencial de sus clientes como parte de los ataques en MOVEit.

A través de un escrito, First Merchants señaló que los hackers de Clop lograron acceder a datos que incluyen las direcciones de sus clientes, sus números de Seguro Social, nombres de usuario para banca en línea, así como información de beneficiarios y de sus cuentas financieras como números de cuenta y de ruta. Sin embargo, el banco norteamericano se negó a responder cuál fue el número de clientes afectados por este incidente.

TomTom, la compañía holandesa de la navegación satelital, también ha sido afectado por la vulnerabilidad de MOVEit. De hecho, justo esta semana, su información fue publicada en el sitio web de Clop. La empresa asegura que se han tomado todas las medidas de seguridad y protección necesarias para salvaguardar los datos de ahora en adelante y asegura que ya están trabajando en conjunto con las autoridades pertinentes para atrapar a los responsables.

Adicionalmente, en las últimas horas, continúan saliendo nuevas víctimas relacionadas con el caso de MOVEit en todo el mundo, las cuales han confirmado robos de datos, incluyendo el Consejo del Condado de Cambridgeshire del Reino Unido, el servicio aeroportuario de Dublín y la Universidad de Illinois. Se espera que la lista siga creciendo en los próximas días.