Un ransomware prolífico La operación está de vuelta con viejos trucos y nuevas víctimas.
Community Health Systems (CHS), uno de los proveedores de atención médica más grandes de los Estados Unidos con cerca de 80 hospitales en 16 estados, confirmó esta semana que piratas informáticos accedieron a la información de salud personal y protegida de hasta 1 millón de pacientes.
El gigante de la salud con sede en Tennessee dijo en una presentación ante los reguladores gubernamentales que la violación de datos se deriva del uso de un popular software de transferencia de archivos llamado GoAnywhere MFT, desarrollado por Fortra (anteriormente conocido como HelpSystems), que implementan grandes empresas para compartir y enviar grandes conjuntos de datos de forma segura. Community Health Systems dijo que Fortra le notificó recientemente sobre un incidente de seguridad que resultó en la divulgación no autorizada de datos de pacientes.
“Como resultado de la brecha de seguridad experimentada por Fortra, el atacante de Fortra expuso la información de salud protegida y la información personal de ciertos pacientes de las afiliadas de la compañía”, según la presentación de Community Health Systems, que fue detectada por primera vez por DataBreaches.net. El gigante de la salud agregó que ofrecería servicios de protección contra el robo de identidad y notificaría a todas las personas afectadas cuya información fue expuesta, pero dijo que no hubo interrupción material en la prestación de atención al paciente.
CHS no ha dicho qué tipos de datos fueron expuestos y un portavoz aún no ha respondido a las preguntas de TechCrunch. Esta es la segunda violación conocida de datos de pacientes de CHS en los últimos años.
Según se informa, la pandilla de ransomware Clop, vinculada a Rusia, asumió la responsabilidad de explotar el nuevo día cero en una nueva campaña de piratería y afirma haber violado más de cien organizaciones que utilizan la tecnología de transferencia de archivos de Fortra, incluida CHS.
Si bien CHS se ha presentado rápidamente como víctima, el reclamo de Clop sugiere que podría haber docenas más de organizaciones afectadas, y si usted es uno de los miles de usuarios de GoAnywhere, su empresa podría estar entre ellos. Afortunadamente, los expertos en seguridad han compartido mucha información sobre el día cero y lo que puede hacer para protegerse contra él.
¿Qué es la vulnerabilidad GoAnywhere?
Los detalles de la vulnerabilidad de día cero en el software GoAnywhere de Fortra, rastreados como CVE-2023-0669, fueron señalados por primera vez por el periodista de seguridad Brian Krebs el 2 de febrero. En una publicación en Mastodon, Krebs compartió el texto completo del aviso de seguridad de Fortra, emitió un el día anterior, al que no se puede acceder desde su sitio web público. Más bien, los usuarios tenían que crear una cuenta de Fortra para acceder al informe de vulnerabilidad, un movimiento que ha sido criticado rotundamente por los expertos en seguridad cibernética.
“Se identificó un exploit de inyección de código remoto de día cero en GoAnywhere MFT”, dijo Fortra en su aviso oculto. “El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, a la que en la mayoría de los casos solo se puede acceder desde la red de una empresa privada, a través de VPN o mediante direcciones IP incluidas en la lista de permitidos (cuando se ejecuta en entornos de nube, como Azure o AWS).”
En un análisis técnico de la falla publicado el 7 de febrero, la empresa de seguridad cibernética Rapid7 describió la capacidad de explotación de la falla, y el valor para el atacante, como «muy alto», dada la sensibilidad de los datos que las empresas envían a través de GoAnywhere.
Los investigadores de seguridad compararon rápidamente la vulnerabilidad con una falla anterior de día cero que afectaba al ahora desaparecido dispositivo de transferencia de archivos (FTA) heredado de Accellion que, como GoAnywhere, permitía a las organizaciones compartir conjuntos de datos confidenciales de forma segura. Se descubrió que la pandilla de ransomware Clop abusaba de la falla Accellion en 2020 para violar varias organizaciones, incluidas Qualys, Shell, la Universidad de Colorado, Kroger y Morgan Stanley.
Ahora, la pandilla de ransomware Clop, que recientemente apareció en los titulares con su nueva variante de Linux, le dijo a Bleeping Computer que ya explotó la vulnerabilidad GoAnywhere para robar datos de más de 130 organizaciones. Clop no proporcionó evidencia para su afirmación y, en el momento de escribir este artículo, el sitio de filtraciones de la web oscura de Clop no menciona ni a Fortra ni a GoAnywhere.
Fortra no respondió a las preguntas de TechCrunch.
¿Debería Preocuparme?
Las preocupaciones sobre la explotabilidad de la vulnerabilidad GoAnywhere no se han exagerado.
La firma de seguridad cibernética Huntress informó la semana pasada que investigó una intrusión en la red de un cliente que implicaba la explotación del día cero de GoAnywhere. Huntress vinculó la intrusión a un actor de amenazas de habla rusa al que llama «Silencio», que tiene vínculos con otro grupo conocido como TA505, un equipo de piratería criminal que ha estado activo desde al menos 2016 y es conocido por campañas dirigidas que involucran el despliegue. del ransomware Clop.
“Según las acciones observadas y los informes anteriores, podemos concluir con confianza moderada que la actividad que observó Huntress tenía la intención de implementar ransomware, con una explotación oportunista potencialmente adicional de GoAnywhere MFT con el mismo propósito”, dijo Joe Slowik, gerente de inteligencia de amenazas en Cazadora.
Huntress dijo que dada en parte la simplicidad de la vulnerabilidad, anticipa ver una «actividad más amplia» ahora que el exploit para el día cero de GoAnywhere se está explotando activamente.
Parches de seguridad disponibles
Fortra lanzó un parche de emergencia, la versión 7.1.2, el 7 de febrero e instó a todos los clientes de GoAnywhere a aplicar el parche lo antes posible. «Particularmente para los clientes que ejecutan un portal de administración expuesto a Internet, consideramos que este es un asunto urgente», dijo la compañía.
Mientras tanto, la agencia de seguridad cibernética de EE. UU. CISA agregó la falla GoAnywhere a su catálogo público de vulnerabilidades conocidas y ordenó a todas las agencias del poder ejecutivo civil federal que parchen sus sistemas antes del 3 de marzo.