ciberseguridad de estados unidos Los funcionarios dijeron ayer que un «pequeño número» de agencias gubernamentales ha sufrido filtraciones de datos como parte de una amplia campaña de piratería que probablemente esté llevando a cabo la banda de ransomware Clop, con sede en Rusia. El grupo de ciberdelincuentes ha explotado una vulnerabilidad en el servicio de transferencia de archivos MOVEit para obtener datos valiosos de víctimas como Shell, British Airways y la BBC. Pero atacar a los objetivos del gobierno de los EE. UU. solo aumentará el escrutinio de las fuerzas del orden mundiales sobre los ciberdelincuentes en la ola de piratería que ya es de alto perfil.
Progress Software, propietaria de MOVEit, reparó la vulnerabilidad a finales de mayo, y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. publicó un aviso con la Oficina Federal de Investigaciones el 7 de junio advirtiendo sobre la explotación de Clop y la necesidad urgente de que todas las organizaciones, tanto públicas y privado, para parchear la falla. Un alto funcionario de CISA dijo a los periodistas ayer que todas las instancias de MOVEit del gobierno de EE. UU. ahora se han actualizado.
Los funcionarios de CISA se negaron a decir qué agencias estadounidenses son víctimas de la ola, pero confirmaron que el Departamento de Energía notificó a CISA que se encuentra entre ellas. CNN, que fue el primero en informar sobre los ataques a las agencias del gobierno de EE. UU., también informó hoy que la ola de piratería informática afectó las licencias de conducir y los datos de identificación de los estados de Luisiana y Oregón de millones de residentes. Clop también se atribuyó previamente los ataques a los gobiernos estatales de Minnesota e Illinois.
“Actualmente estamos brindando apoyo a varias agencias federales que han experimentado intrusiones que afectan sus aplicaciones MOVEit”, dijo el director de CISA, Jen Easterly, a los periodistas el jueves. “Según las discusiones que hemos tenido con los socios de la industria en la Colaboración conjunta de defensa cibernética, estas intrusiones no se aprovechan para obtener un acceso más amplio, para ganar persistencia en los sistemas específicos o para robar información específica de alto valor, en resumen, como entendemos. este ataque es en gran medida oportunista”.
Easterly agregó que CISA no ha visto a Clop amenazar con divulgar ningún dato robado al gobierno de EE. UU. Y el alto funcionario de CISA, que habló con los periodistas con la condición de no ser identificados, dijo que CISA y sus socios actualmente no ven evidencia de que Clop se esté coordinando con el gobierno ruso. Por su parte, Clop ha sostenido que se centra en las empresas y eliminará cualquier información de los gobiernos o las fuerzas del orden.
Clop surgió en 2018 como un actor de ransomware estándar que encriptaría los sistemas de una víctima y luego exigiría el pago para proporcionar la clave de descifrado. La pandilla de ransomware también es conocida por encontrar y explotar vulnerabilidades en software y equipos ampliamente utilizados para robar información de una variedad de empresas e instituciones y luego lanzar campañas de extorsión de datos contra ellos.
Allan Liska, analista de la firma de seguridad Recorded Future que se especializa en ransomware, dice que Clop tuvo un «éxito moderado» con el enfoque del ransomware. Sin embargo, finalmente se diferenció al alejarse del ransomware basado en cifrado y adoptar su modelo actual de desarrollar exploits para vulnerabilidades en el software empresarial y luego usarlos para llevar a cabo el robo masivo de datos.
Y aunque puede que no haya una coordinación directa entre el Kremlin y Clop, la investigación ha demostrado repetidamente vínculos entre el gobierno ruso y los grupos de ransomware. Según el acuerdo, estos sindicatos pueden operar desde Rusia con impunidad siempre que no apunten a las víctimas dentro del país y se atengan a la influencia del Kremlin. Entonces, ¿Clop realmente está eliminando los datos que recopila, incluso de manera incidental, de las víctimas del gobierno?
“No creemos que las agencias del gobierno de EE. UU. hayan sido atacadas específicamente. Clop simplemente golpea cualquier servidor vulnerable que ejecute el software”, dice Liska sobre la campaña MOVEit. “Pero es muy probable que cualquier información que Clop recopile del gobierno de EE. UU. u otros objetivos interesantes se haya compartido con el Kremlin”.