El grupo de ransomware Clop ya no es el único actor de amenazas que aprovechó con éxito la vulnerabilidad GoAnywhere MFT para apuntar a una organización.
Tal como lo descubrieron los investigadores de ciberseguridad de At-Bay, el ransomware conocido (se abre en una pestaña nueva) El actor de amenazas BlackCat (también conocido como ALPHV) también usó la falla para apuntar a una empresa estadounidense no identificada en febrero de 2023.
“Esta última explotación de la vulnerabilidad GoAnywhere MFT contra una empresa de EE. UU. por parte del altamente activo grupo BlackCat aumenta las apuestas en la remediación”, escribe Ido Lev de At-Bay. “La vulnerabilidad es un buen ejemplo de cómo los ciberdelincuentes no solo persiguen las divulgaciones de CVE más frecuentes o conocidas públicamente. El indicador de riesgo más importante no es solo la puntuación que se le da a la vulnerabilidad, sino la facilidad con la que los ciberdelincuentes pueden explotarla en la naturaleza, a escala, para lograr el resultado deseado”.
Atacar a decenas de empresas
GoAnywhere MFT es un servicio de transferencia de archivos seguro, creado por Fortra y utilizado por algunas de las organizaciones más grandes del mundo.
En febrero de este año, se descubrió que un actor de amenazas ruso conocido como Clop usó una vulnerabilidad en el producto, ahora rastreada como CVE-2023-0669, para infiltrarse en más de cien organizaciones y salirse con la suya con sus datos confidenciales.
“Se identificó un exploit de inyección de código remoto de día cero en GoAnywhere MFT”, dijo Fortra en ese momento. “El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, a la que en la mayoría de los casos solo se puede acceder desde la red de una empresa privada, a través de VPN o mediante direcciones IP incluidas en la lista de permitidos (cuando se ejecuta en entornos de nube, como Azure o AWS).”
Entre las empresas comprometidas se encuentran Hitachi Bank, Hatch Energy, Saks Fifth Avenue, Procter & Gamble y muchas más.
Para protegerse contra estos ataques, los investigadores dicen que los usuarios de GoAywhere MFT deben asegurarse de aplicar el último parche y actualizar su software al menos a la versión 7.1.2.