As consequências da exploração de uma vulnerabilidade de dia 0 na solução de gerenciamento de transferência de arquivos do MOVEit Transfer continuam a se espalhar. O número total de empresas afetadas já ultrapassou 100, e a Siemens Energy e a Schneider Electric estão agora entre as vítimas que confirmaram o compromisso.
Deixe-me lembrá-lo que tudo começou com um 0-dia vulnerabilidade (CVE-2023-34362) no Transferência MOVEit solução de gerenciamento de transferência de arquivos, qual foi descoberto no início de junho 2023. Todas as versões do MOVEit Transfer foram afetadas pelo problema, e foi relatado que os ataques contra eles começaram já em maio 27, 2023.
Os invasores usaram esta vulnerabilidade para implantar web shells personalizados em servidores afetados, permitindo-lhes listar arquivos armazenados no servidor, baixar arquivos, e roubar Armazenamento de Blobs do Azure credenciais e segredos da conta, incluindo o AzureBlobStorageAccount, AzureBlobKey, e configurações do AzureBlobContainer.
Como resultado, Microsoft analistas vincularam os ataques massivos ao clop grupo de hackers de ransomware (também conhecido como Tempestade de Renda, TA505, FIN11, ou DEV-0950). Logo o hackers começaram a fazer exigências e extorquir resgates das empresas afetadas.
A data, sabe-se que centenas de empresas foram comprometidas durante os ataques. Nas últimas semanas, a invasão foi confirmada por muitas vítimas. Entre eles: Zellis, um provedor de soluções de folha de pagamento e RH com sede no Reino Unido, cujos clientes incluem Céu, Harrods, Jaguar, Land Rover, Dyson e Crédito suíço. Devido ao hack do Zellis, os dados da companhia aérea irlandesa Aer Lingus, British Airways, o BBC, e a rede de farmácias britânica Botas foram comprometidos.
Os dados vazados também afetaram o Universidade de Rochester, o governo da Nova Escócia, as autoridades dos estados norte-americanos de Missouri e Illinois, NASCIDO Ontário, Ofcam, Redes Extremos e a Sociedade Terapêutica Americana.
Esta semana a lista de vítimas continuou a aumentar. Então, representantes da Universidade da Califórnia em Los Angeles (UCLA) relatado sobre o ataque e vazamento de dados. Representantes da instituição de ensino afirmaram já ter notificado o FBI sobre o incidente e envolveu especialistas de segurança terceirizados no caso para investigar o ataque e entender quais dados foram afetados.
Também ataca um bug no MOVEit Transfer afetado Siemens Energia, uma empresa de energia com sede em Munique que emprega 91,000 pessoas em todo o mundo. Embora nenhum vazamento de dados tenha ocorrido neste momento, Clop já listou a Siemens Energy como uma das vítimas em seu dark web site, e representantes da empresa confirmaram à mídia que foram hackeados nos recentes ataques Clop.
A Siemens Energy enfatiza que nenhum dado importante foi roubado e as operações comerciais da empresa não foram afetadas.
Juntamente com a Siemens Energy, mais um gigante industrial foi adicionado ao site do Clop – o francês Schneider Elétrica, que se dedica à engenharia de energia e fabrica equipamentos para subcomplexos de energia de empresas industriais, instalações de construção civil e residencial, centros de dados, e assim por diante.
A Schneider Electric disse que após a notícia da vulnerabilidade no MOVEit Transfer, a empresa “implantou rapidamente as ferramentas disponíveis para proteger dados e infraestrutura.” Atualmente, os especialistas em segurança da empresa estão investigando as consequências do incidente e as alegações de roubo de dados de Clop.
Além dos gigantes da tecnologia listados, à lista de vítimas de hackers foi adicionada recentemente:
