Un grupo de “hackers” con sede en Rusia logró infiltrarse en más de sesenta organizaciones y empresas en las últimas semanas, incluidas varias agencias gubernamentales de EE. UU., la BBC, British Airways y Shell, encontrando y explotando una vulnerabilidad masiva. Software utilizado y, según un experto, esto es solo la punta del iceberg.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) oficial ha admitido que no hay evidencia de que trabajen en coordinación con el Kremlin y ha declarado que no tienen motivos políticos.
Los atacantes aprovecharon una vulnerabilidad en el software llamado “MOVEit”, que es ampliamente utilizado por todo tipo de organizaciones para cifrar archivos y transferir datos de forma segura.
“El software en sí es utilizado por organizaciones que van desde los servicios financieros hasta el cuidado de la salud, el gobierno y el ejército. Entonces, naturalmente, si el grupo encuentra esta vulnerabilidad y tiene tiempo para explotarla, tendrá una variedad de víctimas”, explica en una entrevista con Efe Satnam Narang, ingeniero senior de investigación de la firma de ciberseguridad Tenable.
Narang destacó que está ocurriendo un “efecto bola de nieve”: “A medida que pasa el tiempo, la bola de nieve se hace más grande. Vamos a averiguar cada vez más quiénes son estas víctimas, porque, naturalmente, algunas víctimas saldrán y confesarán, pero no todos ellos lo divulgarán”.
En las últimas 24 horas, el número de víctimas reportadas como afectadas por piratas saltó de 26 a 63, según compartió en la red Brett Callow, analista de amenazas de Microsoft.
Los piratas están detrás del ataque.
El grupo CL0p, que tiene su base de operaciones en Rusia, está detrás del ciberataque, dijo este jueves un alto funcionario del gobierno estadounidense en un comunicado a la prensa.
Según Narang, CL0p comenzó alrededor de 2019 y es una variante de otro malware o ransomware conocido como Cryptomix.
El grupo dio a las víctimas hasta el miércoles para contactarlas sobre el pago del rescate.
En un comunicado escrito en mayúsculas rojas y publicado en una página en la web oscura -un conjunto oculto de sitios de Internet a los que solo se puede acceder a través de un navegador web especial- CL0p insistió hoy en que “no les importa la política” y están sólo “motivados financieramente”. .
“Queremos recordar a todas las empresas que si ponen datos en Internet donde no hay protección, no nos culpen”, reza el texto de CL0p compartido por Callow.
CL0p eliminó datos oficiales
Ayer, en otro mensaje, los hackers advirtieron a los organismos oficiales hackeados (mencionaron “un servicio del gobierno, de la ciudad o de la policía”) que no había necesidad de contactarlos, ya que ya habían “borrado todos sus datos” y “no tenían interés”. “Para divulgar dicha información”.
El motivo de este mensaje, según Narang, es que si atacan abiertamente a estos animales “básicamente están jugando con fuego”.
“Cuando comienzas a apuntar a organizaciones como gobiernos, ciudades, policía, hospitales, obtienes la atención de las agencias gubernamentales de todo el mundo y pueden visualizar los EE. UU., el Reino Unido, Australia, Nueva Zelanda con sus ojos en CL0p y si buscan Encontrar que tienen este impacto en algunas de sus organizaciones, consolidarán aún más sus esfuerzos para tratar de perseguir a estos grupos de ransomware”, enfatizó el experto.
premio del millon de dolares
Con respecto al dinero que el grupo busca de las víctimas, Narang señaló que, a diferencia de otros piratas informáticos, CL0p no suele revelar esta información.
“Invitan a sus víctimas a contactarlos por correo electrónico o enlaces dedicados exclusivamente a las víctimas. La organización afectada luego va a un chat donde discute con los representantes de CL0p. La cantidad de dinero, dependiendo del tamaño del negocio, puede variar de $50,000 a $300,000 o varios millones”..
“Comprobar software”
Ipswitch, la empresa que desarrolló el software pirateado, detalló la vulnerabilidad que descubrió en “MOVEit” en un comunicado el 5 de junio y anunció que inició una investigación, además de trabajar con sus clientes para evitar cualquier daño.
Narang aconseja a las empresas que utilizan dicha tecnología que “pausen y revisen su software”.
“Bien, haga algún tipo de auditoría de seguridad para determinar si hay vulnerabilidades. Si CL0p puede explotar con éxito tres tipos de vulnerabilidades de transferencia de archivos, se puede garantizar que notarán otra (vulnerabilidad) dentro de los próximos seis meses”.