Progress Software reveló que recibió un pedido de la SEC para compartir información relacionada con la vulnerabilidad en su software de transferencia de archivos, que se convirtió en objeto de un exploit masivo a partir de mayo pasado. Según el documento, la investigación es actualmente una «investigación de investigación» y no hay indicios en este momento de que Progress haya «violado las leyes federales de valores». La empresa tiene la intención de cooperar con la SEC.
Uno de la empresa de software de ciberseguridad Emsisoft estima que la violación de MOVEit expuso la información de al menos 64 millones de personas a través de 2.547 organizaciones afiliadas. Entre las organizaciones afectadas por la vulnerabilidad de día cero se encuentran la Oficina de Vehículos Motorizados de Luisiana y el Departamento de Política y Financiamiento de Atención Médica de Colorado. Los datos de sus empleados se vieron comprometidos en el exploit a principios de este mes. Y el proveedor de servicios financieros con sede en Michigan, Flagstar Bank, envió a sus clientes que dichos registros habían sido robados (ahora recibirán servicios gratuitos de monitoreo de identidad durante dos años).
Los culpables del ataque, la banda de ransomware CL0P, «ayudaron a ser pioneros en la práctica de la doble extorsión», según . En este tipo de esquema, los rescatadores cifran los datos del objetivo y amenazan con filtrar dichos datos (a menos que se les pague). Desde entonces, el grupo ha filtrado algunos de los datos que han extraído en el hackeo de MOVEit, de compañías como Kirkland y TD Ameritrade. El FBI desde entonces hasta 10 millones de dólares a cualquiera que tenga información que pueda vincular a CL0P con cualquier gobierno extranjero en particular.
El costo real (tanto para las víctimas como para Progress Software) sigue siendo desconocido en este momento. Pero algunos de los clientes afectados han comenzado a buscar restitución por el incumplimiento. Progress reveló en la misma presentación regulatoria que es parte de 58 demandas colectivas en este momento. Muchas de ellas pueden consolidarse a medida que avanzan, pero aún presentan la posibilidad de enormes sanciones civiles.