A Microsoft vinculou a gangue de ransomware Clop a um ataque recente que usa uma vulnerabilidade de dia zero na plataforma MOVEit Transfer para roubar dados de organizações. A equipe Threat Intel da empresa nomeia a gangue de crimes cibernéticos Lace Tempest como a principal suspeita desses ataques.
Quem são os hackers do Lace Tempest?
Microsoft está atribuindo ataques que exploram o CVE-2023-34362 MOVEit Transfer vulnerabilidade de dia 0 para o Tempestade de Renda grupo cibercriminoso conhecido por seu ransomware e por executar o clop local de vazamento. “Tempestade de Renda” é o novo nome, de acordo com a classificação atualizada da Microsoft, para o agrupamento, mais conhecido como TA505, FIN11, ou DEV-0950. Os invasores usaram vulnerabilidades semelhantes no passado para roubar dados e extorquir vítimas.
O que é a vulnerabilidade de 0 dia do MOVEit MFT?
MOVEit Transfer é uma transferência gerenciada de arquivos (MFT) solução que permite às empresas transferir arquivos com segurança entre parceiros de negócios e clientes usando SFTP, SCP, e downloads baseados em HTTP. Acredita-se que o ataque que utilizou esta violação começou em maio 27, durante o longo feriado do Memorial Day nos Estados Unidos. O mesmo dia, inúmeras organizações relataram vazamentos de dados.
No final da semana passada, Progress Software developers warned sobre a descoberta de uma vulnerabilidade crítica no MOVEit Transfer. De acordo com eles, a exploração desta vulnerabilidade pode levar ao escalonamento de privilégios e dar a terceiros acesso não autorizado ao ambiente MOVEit Transfer. Os invasores usaram a vulnerabilidade de dia zero do MOVEit para remover shells da web especialmente criados em servidores, permitindo-lhes extrair uma lista de arquivos armazenados no servidor, fazer upload de arquivos, e roubar credenciais/segredos para configurações Azul contêineres de armazenamento de blobs.
Embora não estivesse claro na época quem estava por trás dos ataques, acreditava-se amplamente que o ransomware Clop foi o responsável pelo ataque devido às semelhanças com ataques anteriores realizados pelo grupo. Afinal, este grupo realizou dois dos maiores ataques cibernéticos da história das plataformas MFT.
O primeiro ocorreu em 2020, quando Clop explorou o Accellion FTA vulnerabilidade de dia zero. A segunda aconteceu em janeiro deste ano, também devido a uma vulnerabilidade de dia zero, mas já no Fortra GoAnywhere MFT. Como resultado de ambos os ataques, Clop hackers assumiram o controle de dados de centenas de organizações. Também escrevemos isso FIN7 Atividade retomada do grupo de hackers, Vinculado ao Clop Ransomware e outros meios de comunicação indicaram que Operadores de ransomware Clop vazaram dados de duas universidades.
O que então?
Atualmente, a fase de extorsão ainda não começou, e as vítimas ainda não receberam pedidos de resgate. No entanto, sabe-se que a turma do Clop, se a Microsoft não se enganou em seus julgamentos, espera várias semanas após o roubo. Talvez os hackers estruturem os dados roubados e determinem seu valor. E somente quando estiverem prontos, eles enviarão suas demandas aos dirigentes das empresas afetadas por e-mail. depois do ataque a GoAnywhere, demorou pouco mais de um mês até que os hackers publicassem uma lista de vítimas em seu site de vazamento. Desta vez, é provável que você também precise esperar um pouco.
Como solução alternativa, todos os clientes são aconselhados a bloquear o tráfego externo nas portas 80 e 443 no servidor MOVEit Transfer o mais rápido possível. Ao mesmo tempo, os desenvolvedores alertaram que o bloqueio dessas portas proibiria o acesso externo à interface web, interferir em alguns aspectos da automação, bloquear a API, e impedir que o plugin Outlook MOVEit Transfer funcione.