El ransomware Clop (se abre en una pestaña nueva) El grupo ha atacado un conocido servicio de transferencia de archivos B2B, lo que ha provocado que hasta un millón de pacientes de salud de EE. UU. tengan sus datos confidenciales expuestos.
La noticia de la infracción se produjo después de que Community Health Systems (CHS) presentara un documento ante los reguladores gubernamentales que confirmaba la infracción.
Según la presentación, Clop, que supuestamente está vinculado al gobierno ruso, violó GoAnywhere MFT, un popular servicio de intercambio de archivos desarrollado por Fortra y utilizado por grandes empresas para compartir archivos confidenciales de forma segura.
Los detalles son escasos
“Como resultado de la brecha de seguridad experimentada por Fortra, el atacante de Fortra expuso la información de salud protegida y la información personal de ciertos pacientes de las afiliadas de la compañía”, se lee en el documento.
CHS no dijo qué tipo de datos se tomaron, ni dijo cómo se produjo el ataque. Dijo que comenzó a notificar a todas las personas afectadas y comenzó a ofrecerles servicios gratuitos de protección contra el robo de identidad.
Las operaciones de la organización no se han visto afectadas, dijo.
Por otro lado, Clop asumió la responsabilidad del ataque y dijo que abusó de un día cero en GoAnywhere MFT para comprometer a más de cien organizaciones. Hablando a BleepingEquipoClop dijo que comprometió a 130 organizaciones, pero no proporcionó ninguna prueba de estas afirmaciones.
Fortra había notificado recientemente a sus clientes sobre un nuevo día cero, pero lo hizo a través de un informe de vulnerabilidad solo disponible para usuarios registrados.
La falla, rastreada como CVE-2023-0669, fue publicada más tarde por el investigador de ciberseguridad Brian Krebs.
“Se identificó un exploit de inyección de código remoto de día cero en GoAnywhere MFT”, supuestamente dijo Fortra. “El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, a la que en la mayoría de los casos solo se puede acceder desde la red de una empresa privada, a través de VPN o mediante direcciones IP incluidas en la lista de permitidos (cuando se ejecuta en entornos de nube, como Azure o AWS).”
Para protegerse contra estos ataques, los usuarios de GoAywhere deben asegurarse de aplicar el último parche y actualizar su software al menos a la versión 7.1.2.
- Consulte las opciones gratuitas y de pago para obtener el mejor cortafuegos (se abre en una pestaña nueva) software para mantenerse protegido en línea
Vía: TechCrunch (se abre en una pestaña nueva)