CL0P, el ransomware que pone en jaque a públicos y privados

Un número creciente de empresas, universidades y agencias gubernamentales han sido blanco de un ciberataque global por parte de ciberdelincuentes rusos y ahora están trabajando para comprender cuántos datos se vieron comprometidos.

CL0P es una pandilla rusa de ransomware conocida por exigir pagos multimillonarios a las víctimas antes de publicar datos que afirma haber robado. En algunos casos, el ataque implica demandas de pagos de rescate por los datos robados, pero no implica la infección con ransomware.

Si bien el alcance del ataque aún no se conoce por completo, los funcionarios de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) dicen que «varias agencias federales… han experimentado intrusiones» y sugirieron que varias empresas también podrían verse afectadas.

CL0P, que apareció en febrero de 2019 y evolucionó a partir de la variante de ransomware CryptoMix, se aprovechó como ransomware como servicio (RaaS) en campañas de phishing a gran escala que usaban un binario verificado y firmado digitalmente para eludir las defensas del sistema.

En febrero de 2023, se vinculó los ataques a GoAnywhere con TA505, un grupo de amenazas conocido por implementar el ransomware CL0P en el pasado, mientras investigaba un ataque en el que se implementó el descargador de malware TrueBot. Más allá del ransomware CL0P, TA505 es conocido como uno de los distribuidores de phishing y malspam más grandes del mundo y se estima que TA505 ha comprometido a más de 3.000 organizaciones de EE.UU. y 8.000 organizaciones globales.

TA505 ha operado:

RaaS y ha actuado como afiliado de otras operaciones de RaaS;
como intermediario de acceso inicial (IAB), que vende acceso a redes corporativas comprometidas;
como cliente de otros IAB y;
como un gran operador de botnets especializado en fraude financiero y ataques de phishing.

CL0P era conocido anteriormente por su uso de la táctica de «doble extorsión» de robar y cifrar los datos de las víctimas, negarse a restaurar el acceso de las víctimas y publicar datos exfiltrados en Tor a través del sitio web CL0P^_-LEAKS.

CL0P dice que tiene «información sobre cientos de empresas», según una publicación en su sitio de extorsión en la Dark Web, y pidió a las víctimas que se comuniquen con ellos para pagar un rescate. Más tarde comenzó a enumerar más presuntas víctimas del hackeo en su sitio web.

El gigante petrolero Shell, BBC, PwC Australia, British Airways y la empresa argentina GLOBALFARM se encuentran entre las víctimas, junto con agencias gubernamentales, bancos, empresas manufactureras y universidades estadounidenses. La BBC y British Airways han confirmado haber sufrido un incidente de ciberseguridad, que se produjo a través de una brecha en una empresa de recursos humanos utilizada por ambas.

Según Brett Callow, analista de amenazas de la firma de ciberseguridad Emsisoft, los delincuentes informáticos también han incluido a Aon y The Boston Globe como víctimas. «Según mi cuenta, ahora hay 63 víctimas conocidas/confirmadas más un número no especificado de agencias del USG», tuiteó Callow.

La campaña se ha extendido a la Universidad Johns Hopkins en Baltimore y el renombrado sistema de salud de la universidad dijeron en un comunicado que «información personal y financiera confidencial, incluidos los registros de facturación de salud, pueden haber sido robados en el hackeo».

Mientras tanto, el sistema universitario estatal de Georgia, que abarca la Universidad de Georgia de 40.000 estudiantes junto con más de una docena de otros colegios y universidades estatales, confirmó que estaba investigando el «alcance y la gravedad» del ataque.

Algunos expertos en seguridad han sugerido que la decisión del grupo de ransomware de pedirles a las víctimas que se comuniquen con él en lugar de que sea al revés muestra que la pandilla está «abrumada» con la gran cantidad de empresas y organizaciones afectadas por su último ataque cibernético.

A partir del jueves, en lugar de enumerar las agencias federales en la lista, los delincuentes informáticos escribieron en mayúsculas: «Si usted es un servicio del gobierno, de la ciudad o de la policía, no se preocupe, borramos todos sus datos. No necesita ponerse en contacto con nosotros. No tenemos ningún interés en exponer dicha información».

En las últimas semanas, los delincuentes informáticos han estado aprovechando una vulnerabilidad en MOVEit, un software ampliamente utilizado por empresas y agencias para transferir datos. Progress Software, la firma estadounidense que fabrica el software, ha estado advirtiendo a los clientes durante semanas sobre las fallas de seguridad descubiertas en el software. Lanzó un aviso de seguridad a principios de junio que decía que una vulnerabilidad podría permitir a los delincuentes informáticos obtener acceso no autorizado a los sistemas.

Progress Software anunció el descubrimiento de tres vulnerabilidades:

CVE-2023-35708 (Junio 15, 2023)
CVE-2023-35036 (Junio 9, 2023)
CVE-2023-34362 (Mayo 31, 2023)

MOVEit Transfer emitió una guía sobre las versiones afectadas conocidas, actualizaciones de software y parches. Según la evidencia de explotación activa, CISA agregó estas vulnerabilidades al Catálogo de vulnerabilidades explotadas conocidas (KEV) el 2 de junio de 2023. Estas vulnerabilidades son fallas de inyección SQL que podrían permitir que un atacante no autenticado aumente los privilegios y acceda a la base de datos de MOVEit Transfer. La explotación de las vulnerabilidades MOVEit Transfer afectan a las siguientes versiones del software:

MOVEit Transfer 2023.0.0
MOVEit Transfer 2022.1.x
MOVEit Transfer 2022.0.x
MOVEit Transfer 2021.1.x / MOVEit Transfer 2021.0.x
MOVEit Transfer 2020.1.x / MOVEit Transfer 2020.0.x

El 31 de mayo de 2023, Progress Software publicó un parche para CVE-2023-34362, una vulnerabilidad de inyección SQL que podría permitir a los atacantes hacerse con el control total de una instalación de MOVEit Transfer.

Los informes públicos indican que los ataques, contra esta vulnerabilidad, fueron verdaderos «ataques de día cero» y pueden haber comenzado ya el 27 de mayo de 2023, antes de que hubiera un parche disponible o de que la vulnerabilidad se divulgara o discutiera públicamente. El 4 de junio de 2023, Microsoft Threat Intelligence atribuyó estos ataques a «Lace Tempest», que es «conocido por operaciones de ransomware y por gestionar el sitio de extorsión CL0P». Lace Tempest también es rastreado en la industria como FIN11, DEV-0950 y TA505.

Debido a la velocidad y facilidad con la que TA505 ha explotado esta vulnerabilidad, y en base a sus campañas anteriores, el FBI y CISA esperan ver una explotación generalizada de los servicios de software sin parches en las redes públicas y privadas.

En febrero, la pandilla de ransomware CL0P afirmó estar detrás de los ataques que explotaron una vulnerabilidad de Zero-Day en la herramienta de transferencia segura de archivos GoAnywhere MFT, diciendo que robaron datos de más de 130 organizaciones. La falla, identificada como CVE-2023-0669, permite a los atacantes obtener la ejecución remota de código en instancias MFT de GoAnywhere sin parches con su consola administrativa expuesta al acceso a Internet.

Por este motivo, CISA agrega también la vulnerabilidad CVE-2023-0669 a su Catálogo de Vulnerabilidades Explotadas Conocidas, ordenando a las agencias federales parchaar sus sistemas.

Fuente y redacción: segu-info.com.ar

Lockbit, lo que necesitas saber del ransomware que imprime sus extorsiones

LockBit ransomware se mueve silenciosamente en la red, ataca rápido.

LockBit 3.0 Ransomware: dentro de la ciberamenaza que cuesta millones