top of page

Desempaquetando la Infracción de MOVEit: Estadísticas y Análisis


MOVEit es una plataforma de transferencia de archivos creada por una empresa llamada Progress Software Corporation. La plataforma es utilizada por miles de gobiernos, instituciones financieras y otros organismos del sector público y privado de todo el mundo para enviar y recibir información.


A fines de mayo de 2023, comenzaron a transferirse datos de cientos de implementaciones de MOVEit; sin embargo, no se trataba de transferencias de archivos normales iniciadas por usuarios legítimos. MOVEit había sido pirateado y los datos estaban siendo robados por una operación de ransomware llamada Cl0p.


El recuento actual de organizaciones e individuos que se sabe que se vieron afectados por este incidente se muestra a continuación. Los datos provienen de notificaciones de infracciones estatales, presentaciones de la SEC, otras divulgaciones públicas, así como del sitio web de Cl0p, y están actualizados al 29 de julio de 2023.

  • Organizaciones: 542

  • Particulares: 37.662.463


El total incluye:


  • Escuelas de EE. UU.: 127

  • Sector público de EE. UU.: 24

  • Sector público internacional: 32


Las organizaciones con sede en EE. UU. representan el 73,6 por ciento de las víctimas conocidas, el 6,3 por ciento con sede en Alemania, el 3,9 por ciento con sede en Canadá y el 3,7 por ciento con sede en el Reino Unido.


Los sectores más afectados son las finanzas y los servicios profesionales y la educación, que representan el 22,0 % y el 23,8 % de los incidentes, respectivamente.


Algunas de las organizaciones afectadas brindan servicios a muchas otras organizaciones, por lo que es probable que los números anteriores aumenten significativamente a medida que esas organizaciones comiencen a presentar notificaciones. Como ejemplo, el National Student Clearinghouse, que fue impactado por MOVEit, se asocia con más de 3500 escuelas en los EE. UU. y cada una de esas escuelas podría verse potencialmente afectada. Lo mismo podrían hacer los 17,1 millones de estudiantes, que representan el 97 % de la matrícula postsecundaria actual, cuya información es procesada por el National Student Clearinghouse, así como los estudiantes que estaban matriculados en años anteriores.


Cabe señalar que invariablemente habrá cierta superposición en términos de las personas afectadas. Algunas organizaciones tuvieron exposición a MOVEit a través de múltiples proveedores, lo que significa que los clientes de esas organizaciones probablemente también hayan tenido múltiples exposiciones.


¿Cómo ha ocurrido?

El 31 de mayo, Progress Software emitió un aviso y un parche para una vulnerabilidad posteriormente identificada como CVE-2023-34362 y se le asignó una calificación de gravedad de 9,8 sobre 10. La empresa afirmó que la vulnerabilidad “podría dar lugar a una escalada de privilegios y un posible acceso no autorizado a la ambiente." En otras palabras, era una vulnerabilidad que podía permitir a los piratas informáticos acceder a MOVEit y robar datos, algo que más tarde se supo que había estado sucediendo al menos desde el 27 de mayo.


El 9 de junio, Progress emitió un parche para una segunda vulnerabilidad identificada como CVE-2023-35036. El 15 de junio, se emitió un parche para una tercera vulnerabilidad identificada como CVE-2023-35708. Ambas vulnerabilidades eran críticas y podrían haber permitido que la plataforma MOVEit se explotara aún más.


Cl0p confirmó que había sido responsable del ataque a la plataforma MOVEit con la siguiente publicación del 6 de junio en el sitio del grupo en la dark web.



Como se muestra en la captura de pantalla anterior, Cl0p declaró que los datos que habían sido robados de gobiernos, ciudades y servicios policiales habían sido eliminados. El 17 de julio de 2023, se demostró que esa afirmación era inexacta cuando el grupo incluyó a la Oficina de Comunicaciones del Reino Unido (Ofcom) y a la Comisión de Regulación de Comunicaciones de Irlanda (Comreg).



El flujo ascendente/descendente en muchos incidentes de MOVEit es extremadamente complejo, y algunas organizaciones se vieron afectadas porque utilizaron un proveedor que utilizó un contratista que utilizó un subcontratista que utilizó MOVEit. Además, algunas organizaciones han estado expuestas a MOVEit a través de múltiples proveedores. Esto es especialmente cierto en el sector de la educación, ya que algunas instituciones se vieron afectadas por incidentes que involucraron a la Cámara Nacional de Compensación de Estudiantes, la Asociación de Seguros y Anualidades de Maestros de América-College Retirement Equities Fund (que se vio afectada por un incidente en un proveedor: PBI Research Services), así como proveedores de seguros de salud de terceros y otros proveedores de servicios financieros.


¿Quién es Cl0p?

Cl0p es un tipo de ransomware que se ha utilizado en ataques cibernéticos desde 2019. Los datos robados en los ataques se publican en un sitio en la web oscura, el llamado "sitio de fuga de datos" o "DLS", al que los piratas informáticos se refieren como “CL0P^_- FUGAS.” El ransomware y el sitio web se han vinculado a FIN11, una operación de ciberdelincuencia con motivación financiera que se ha conectado tanto con Rusia como con Ucrania y que se cree que es parte de una operación general más grande conocida como TA505.


Si bien los actores detrás de Cl0p han implementado previamente ransomware de cifrado de archivos, han cambiado cada vez más a una estrategia de solo exfiltración de aplastar y agarrar, confiando en la amenaza de liberar datos robados como palanca para extorsionar el pago. Esto es probable para que Cl0p pueda filtrar rápidamente datos de tantas organizaciones como sea posible, antes de que se parchee la vulnerabilidad que se está explotando.


Esta no es la primera vez que el grupo ataca una plataforma de transferencia de archivos. Se lanzaron ataques similares a MOVEit contra Accellion File Transfer Appliances (FTA) en 2020/2021, SolarWinds Serv-U en 2021 y servidores Fortra/Linoma GoAnywhere MFT en 2023.


Pensando en el futuro

El incidente de MOVEit destaca los desafíos que enfrentan las organizaciones para proteger sus datos. No solo deben preocuparse por su propia seguridad, sino también por sus cadenas de suministro. Lo que complica aún más las cosas es el hecho de que los ataques que aprovechan las vulnerabilidades de día cero, como lo hizo este, son extremadamente difíciles de defender.


El incidente será sin duda extremadamente costoso. Más allá de la remediación, las organizaciones y sus aseguradoras deberán brindar monitoreo de crédito a las personas y, sin duda, enfrentarán múltiples demandas. Además, existe un potencial significativo para que los datos robados se utilicen en spear phishing, estafas BEC, etc., lo que significa que este delito podría actuar como facilitador de muchos otros delitos.


La pregunta más importante es cómo podemos evitar que un evento similar vuelva a ocurrir. Si bien esa no es una pregunta fácil de responder, las iniciativas Secure by Design, Secure by Default podrían desempeñar un papel fundamental.


La conclusión es que no se puede esperar que las organizaciones eviten los ataques contra el software vulnerable, por lo que es necesario hacerlo más seguro. A menos que podamos mejorar la seguridad del software, es solo cuestión de tiempo antes de que ocurra otro incidente similar al de MOVEit.

8 visualizaciones

Comments


Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page