El grupo de ransomware Clop ha confirmado las afirmaciones de Microsoft de que fue responsable del reciente ataque cibernético en el servicio de transferencia de archivos administrado MOVEit.
En una declaración entregada a BleepingComputer, el temido actor de amenazas también confirmó la mayor parte de las especulaciones que circulaban en los últimos días, a saber, que el ataque comenzó el 27 de mayo (durante el largo feriado del Día de los Caídos en los Estados Unidos), usó un día cero vulnerabilidad, y a la mayoría de las víctimas se les pedirá un pago a cambio de sus datos.
Sin embargo, las negociaciones aún no han comenzado. Los informes especulan que el grupo actualmente está revisando gigabytes de datos, identificando puntos de interés y datos importantes, antes de establecer sus rescates y calcular dónde atacar primero. Hasta el momento, no se han publicado datos, ni siquiera fragmentos.
Sin datos del gobierno
Sin embargo, los intentos de extorsión ahora son solo cuestión de tiempo, dice Charles Carmakal, CTO, Mandiant Consulting – Google Cloud.
«En esta etapa, es fundamental que las organizaciones de víctimas se preparen para la extorsión potencial, la publicación de datos robados y la vergüenza de la víctima. Es probable que el actor de amenazas pronto comience a ponerse en contacto con las demandas de extorsión y comience a trabajar en su lista de víctimas. ,» él dijo.
«Las investigaciones de Mandiant sobre campañas anteriores del presunto actor de amenazas muestran que las demandas de extorsión suelen estar en el rango de 7 u 8 cifras, incluidas algunas demandas por más de $ 35 millones».
Las especulaciones anteriores también indicaron que Clop obtuvo datos confidenciales pertenecientes a gobiernos occidentales. Si bien el grupo obtuvo dicha información, afirma haberla eliminado de inmediato, posiblemente para no molestar al oso.
«Quiero decirles de inmediato que el ejército, los hospitales infantiles, el gobierno, etc. no atacaron así, y sus datos fueron borrados», dijo Clop a la publicación por correo electrónico.
El viernes pasado, MOVEit confirmó el descubrimiento de una importante vulnerabilidad de seguridad en sus sistemas e instó a sus clientes a aplicar la solución mientras funciona en el parche.
El día de hoy, surgieron noticias de las primeras víctimas, luego de que la BBC informara que su personal, así como los que trabajan en British Airways, Boots, Aer Lingus y Zelli, se vieron afectados.
Los datos que fueron robados en la violación incluyen números de seguros nacionales, así como datos bancarios, según el usuario del software afectado.
MOVEit Transfer es una solución de transferencia de archivos administrados (MFT) creada por Ipswitch, una subsidiaria de una empresa llamada Progress. Las empresas suelen utilizar software como este para transferir de forma segura archivos confidenciales, como datos financieros, información de identificación personal y más.
Carmakal también dijo que las empresas deben estar al tanto de posibles estafadores: «Algunos de nuestros clientes afectados por la explotación de MOVEit recibieron correos electrónicos de extorsión durante el fin de semana. Los correos electrónicos de extorsión no estaban relacionados con la explotación de MOVEit y eran solo estafas, pero las organizaciones podrían confundirlos fácilmente con auténtico.»
Vía: BleepingComputer