La explotación masiva de MOVEit El software de transferencia se ha consolidado rápidamente como el mayor hackeo del año hasta el momento. Si bien es probable que el impacto total del ataque permanezca desconocido durante los próximos meses, ahora hay más de 1.000 víctimas conocidas de la violación de MOVEit, según la empresa de ciberseguridad Emsisoft.
Este hito convierte la violación de MOVEit no solo en el mayor hackeo de 2023, sino también en uno de los más grandes de la historia reciente.
Las consecuencias comenzaron en mayo cuando Progress reveló una vulnerabilidad de día cero en MOVEit Transfer, su servicio administrado de transferencia de archivos utilizado por miles de organizaciones en todo el mundo para mover grandes cantidades de datos, a menudo confidenciales, a través de Internet. La vulnerabilidad de calificación crítica permitió a los atacantes, específicamente el notorio ransomware y banda de extorsión Clop, atacar los servidores de MOVEit Transfer y robar los datos confidenciales de los clientes almacenados en ellos.
Desde entonces, los ataques y amenazas de Clop de publicar los datos robados si no recibe pagos han continuado sin cesar, al igual que el número de organizaciones víctimas conocidas, personas conocidas afectadas y los costos asociados con las consecuencias.
Echamos un vistazo al truco masivo de MOVEit en cifras.
60.144.069
Así como el número de organizaciones víctimas conocidas superó la marca de 1.000 el 25 de agosto, el número de personas afectadas también superó la marca de 60 millones.
Esta cifra, publicada por Emsisoft, proviene de notificaciones estatales de incumplimiento, presentaciones regulatorias de la SEC y otras divulgaciones públicas. Emsisoft señala que, si bien siempre habrá cierta superposición en términos de personas afectadas, es probable que el número aumente a medida que más organizaciones continúen confirmando violaciones de datos relacionadas con MOVEit.
83,9%
Las organizaciones con sede en EE. UU. representan el 83,9% de las víctimas corporativas conocidas de MOVEit, según los investigadores de Emisoft. Las organizaciones en Alemania representan alrededor del 3,6% del total de víctimas, seguidas por las empresas canadienses con el 2,6% y las empresas del Reino Unido con el 2,1%.
11 millones
En julio, el gigante de contratación de servicios del gobierno de EE. UU. Maximus se convirtió en la mayor víctima de la violación de MOVEit después de confirmar que los piratas informáticos accedieron a la información de salud protegida (incluidos los números de Seguro Social) de hasta 11 millones de personas. La firma con sede en Virginia dijo en ese momento que aún no había determinado el número exacto de personas afectadas.
A la magnitud de este incidente le sigue de cerca el compromiso de la agencia de desempleo del gobierno francés, Pôle emploi, que recientemente confirmó una violación que afectó a los datos personales de hasta 10 millones de personas. Esto convierte a la agencia francesa en la segunda mayor víctima conocida del hackeo masivo.
Completando la lista de las cinco principales víctimas de MOVEit se encuentra la Oficina de Vehículos Motorizados de Luisiana (6 millones). Departamento de Política y Financiamiento de la Atención Médica de Colorado (4 millones) y el Departamento de Transporte de Oregón (3,5 millones).
30,86%
Aproximadamente un tercio de los hosts que ejecutaban servidores MOVEit vulnerables en el momento en que comenzaron los ataques masivos pertenecían a organizaciones relacionadas con servicios financieros, según la firma de análisis de seguridad Censys.
El informe, que analizó 1.400 servidores MOVEit a los que se podía acceder abiertamente en Internet, encontró que el 15,96% de los hosts estaban asociados con el sector de la salud, el 8,92% estaban vinculados a organizaciones de tecnología de la información y el 7,5% se atribuían a entidades gubernamentales y militares.
$9,923,771,385
Este es el coste total estimado de los ataques masivos a MOVEit hasta el momento. La cifra se basa en datos de IBM, que encontró que la filtración de datos promedio el año pasado costó 165 dólares, junto con la cantidad de personas que se confirmó que se vieron afectadas.
Sin embargo, como señaló Emsisoft, hasta ahora solo un puñado de víctimas corporativas han informado la cantidad de personas que se sabe que están afectadas. Emsisoft dijo que si se ampliara la cifra, el costo sería de al menos 65 mil millones de dólares hasta la fecha.
2021
Los investigadores creen que Clop puede haber estado aprovechando su exploit MOVEit ya en 2021. La consultora de riesgos estadounidense Kroll dijo en un informe que, si bien las noticias sobre la vulnerabilidad surgieron por primera vez a fines de mayo, los investigadores de Kroll identificaron actividad que indicaba que Clop había estado experimentando con explotando esta vulnerabilidad durante casi dos años.
«Parece que los actores de la amenaza Clop completaron el exploit MOVEit Transfer en el momento del evento GoAnywhere y eligieron ejecutar los ataques de forma secuencial en lugar de en paralelo», afirma Kroll.
$10.000.000
El Departamento de Estado de EE. UU. ofreció una recompensa de 10 millones de dólares relacionada con la información sobre el grupo de ransomware Clop después de que los registros de varias entidades del departamento se vieran comprometidos en la violación de MOVEit.
El Departamento de Energía confirmó a TechCrunch que dos de sus entidades se encontraban entre las violadas.
$100.000.000
Esta es la cantidad de dinero que Clop podría ganar con la campaña de piratería masiva MOVEit, según la empresa de recuperación de ransomware Coveware, y esa suma se deriva de sólo un pequeño puñado de víctimas que cedieron a las demandas de los piratas informáticos y pagaron importantes pagos de rescate.
“Esta es una suma de dinero peligrosa y asombrosa para que la posea un grupo relativamente pequeño. Por contexto, esta cantidad es mayor que el presupuesto anual de seguridad ofensiva de Canadá”, dijo Coveware.
Cero
Esta es la cantidad de datos gubernamentales que Clop afirma tener sobre los servicios gubernamentales, municipales o policiales. En una publicación en su sitio de filtración en la web oscura, la pandilla dijo que “haría lo cortés” y eliminaría todos los datos relacionados con el gobierno. Clop no ha proporcionado pruebas de esta afirmación, ni TechCrunch ha podido verificar su afirmación. “Solo somos financieros [sic] motivado”, escribieron los piratas informáticos.