El grupo de ransomware Clop ya no es el único actor de amenazas que aprovechó con éxito la vulnerabilidad GoAnywhere MFT para apuntar a una organización.

Tal como lo descubrieron los investigadores de ciberseguridad de At-Bay, el ransomware conocido (se abre en una pestaña nueva) El actor de amenazas BlackCat (también conocido como ALPHV) también usó la falla para apuntar a una empresa estadounidense no identificada en febrero de 2023.

Procter & Gamble (P&G) es la última organización que ha confirmado que el grupo de ransomware Clop ha robado datos confidenciales de sus empleados.

El gigante del consumo ha confirmado haber sido violado en un comunicado dado a BleepingEquipoy señaló: «P&G puede confirmar que fue una de las muchas empresas afectadas por el incidente GoAnywhere de Fortra».

Rubrik, la empresa de seguridad de datos de Silicon Valley, dijo que experimentó una intrusión en la red que fue posible gracias a una vulnerabilidad de día cero en un producto que utilizó llamado GoAnywhere.

En un aviso publicado el martes, el CISO de Rubrik, Michael Mestrovich, dijo que una investigación sobre la violación encontró que los intrusos obtuvieron acceso principalmente a información de ventas interna, incluidos nombres de empresas e información de contacto, y un número limitado de órdenes de compra de los distribuidores de Rubrik. La investigación, que contó con la ayuda de una empresa externa no identificada, concluyó que no hubo exposición de información confidencial, como números de seguro social, números de cuentas financieras o datos de tarjetas de pago.

de labios apretados

“Detectamos acceso no autorizado a una cantidad limitada de información en uno de nuestros entornos de prueba de TI que no son de producción como resultado de la vulnerabilidad de GoAnywhere”, escribió Mestrovich. “Es importante destacar que, según nuestra investigación actual, que se llevó a cabo con la asistencia de expertos forenses externos, el acceso no autorizado NO incluyó ningún dato que protegiéramos en nombre de nuestros clientes a través de ningún producto de Rubrik”.

Mestrovich dejó detalles clave fuera de la divulgación, sobre todo cuándo ocurrió la violación y cuándo o si Rubrik reparó la vulnerabilidad. El 2 de febrero, la empresa de ciberseguridad Fortra advirtió en privado a los clientes que había identificado exploits de día cero de una vulnerabilidad en su GoAnywhere MFT, una aplicación de transferencia de archivos administrada de nivel empresarial. Fortra instó a los clientes a tomar medidas para mitigar la amenaza hasta que haya un parche disponible. El 6 de febrero, Fortra solucionó la vulnerabilidad, rastreada como CVE-2023-0669, con el lanzamiento de la versión 7.1.2.

Sin saber cuándo ocurrió la intrusión, es imposible determinar si la vulnerabilidad era de día cero en el momento en que se explotó contra Rubrik, o si la brecha fue el resultado de que Rubrik no instaló un parche disponible o tomó otras medidas de mitigación en un manera oportuna.

Los representantes de Rubrik no respondieron a un correo electrónico en busca de comentarios sobre el momento de la intrusión y cuándo o si la empresa corrigió o mitigó la vulnerabilidad. Esta publicación se actualizará si esta información está disponible más adelante.

El CVE que sigue dando

CVE-2023-0669 ha demostrado ser un activo valioso para los actores de amenazas. Dos semanas después de que Fortra revelara por primera vez la vulnerabilidad, una de las cadenas de hospitales más grandes de los EE. UU. dijo que los piratas informáticos la explotaron en una intrusión que les dio acceso a los piratas informáticos a la información de salud protegida de un millón de pacientes. Los datos comprometidos incluían información de salud protegida según lo define la Ley de Portabilidad y Responsabilidad de Seguros Médicos, así como información personal de los pacientes, dijo la cadena de hospitales Community Health Systems de Franklin, Tennessee.

Recientemente, Bleeping Computer informó que los miembros de la pandilla de ransomware Clop se atribuyeron el mérito de piratear 130 organizaciones al explotar la vulnerabilidad GoAnywhere. La investigación de la firma de seguridad Huntress confirmó que el malware utilizado en las intrusiones que explotan CVE-2023-0669 tenía vínculos indirectos con Clop.

Recientemente, el sitio web oscuro de Clop afirmó que el grupo de ransomware había violado Rubrik. Como prueba, el actor de amenazas publicó nueve capturas de pantalla que parecían mostrar información patentada perteneciente a Rubrik. Las capturas de pantalla parecían confirmar la afirmación de Rubrik de que los datos obtenidos en la intrusión se limitaban principalmente a información de ventas internas.

El sitio de Clop también afirmó que el grupo había pirateado Hatch Bank y proporcionó 10 capturas de pantalla que parecían confirmar el reclamo. Hatch Bank, un banco que brinda servicios para empresas de tecnología financiera, dijo a fines de febrero que había experimentado una violación que le dio acceso a los nombres y números de Seguro Social de aproximadamente 140,000 clientes. Una carta que Hatch Bank envió a algunos clientes identificó una vulnerabilidad de día cero en GoAnywhere como la causa.

Si no estaba claro antes, debería estarlo ahora: CVE-2023-0669 representa una gran amenaza. Cualquiera que use GoAnywhere debe tener como prioridad investigar su exposición a esta vulnerabilidad y responder en consecuencia.

Una de las cadenas de hospitales más grandes de los EE. UU. dijo que los piratas informáticos obtuvieron información de salud protegida de 1 millón de pacientes después de explotar una vulnerabilidad en un producto de software empresarial llamado GoAnywhere.

Community Health Systems de Franklin, Tennessee, dijo en una presentación ante la Comisión de Bolsa y Valores el lunes que el ataque se dirigió a GoAnywhere MFT, un producto de transferencia de archivos administrado que Fortra otorga licencias a grandes organizaciones. La presentación dice que una investigación en curso ha revelado hasta ahora que el ataque probablemente afectó a 1 millón de personas. Los datos comprometidos incluían información de salud protegida según lo define la Ley de Portabilidad y Responsabilidad del Seguro Médico, así como la información personal de los pacientes.

Hace dos semanas, el periodista Brian Krebs dijo en Mastodon que la firma de seguridad cibernética Fortra había emitido un aviso privado a los clientes advirtiendo que la compañía se había enterado recientemente de un «exploit de inyección remota de código de día cero» dirigido a GoAnywhere. Desde entonces, la vulnerabilidad ha ganado la designación CVE-2023-0669. Fortra parchó la vulnerabilidad el 7 de febrero con el lanzamiento de 7.1.2.

“El vector de ataque de este exploit requiere acceso a la consola administrativa de la aplicación, a la que en la mayoría de los casos solo se puede acceder desde la red de una empresa privada, a través de VPN o mediante direcciones IP incluidas en la lista de permitidos (cuando se ejecuta en entornos de nube, como Azure o AWS)”, decía el aviso citado por Krebs. Continuó diciendo que los hacks eran posibles «si su interfaz administrativa hubiera sido expuesta públicamente y/o los controles de acceso apropiados no se pudieran aplicar a esta interfaz».

A pesar de que Fortra dijo que, en la mayoría de los casos, los ataques solo eran posibles en la red privada de un cliente, la presentación de Community Health Systems dijo que Fortra era la entidad que «había experimentado un incidente de seguridad» y se enteró de la «violación de Fortra» directamente de la empresa.

«Como resultado de la brecha de seguridad experimentada por Fortra, la información de salud protegida («PHI») (como se define en la Ley de Portabilidad y Responsabilidad del Seguro Médico («HIPAA»)) y la «Información personal» («PI») de ciertos pacientes de los afiliados de la Compañía fueron expuestos por el atacante de Fortra”, indica el documento.

En un correo electrónico en busca de aclaraciones sobre la red de la empresa que fue violada, los funcionarios de Fortra escribieron: “El 30 de enero de 2023, nos enteramos de actividad sospechosa dentro de ciertas instancias de nuestra solución GoAnywhere MFTaaS. Inmediatamente tomamos varias medidas para abordar esto, incluida la implementación de una interrupción temporal de este servicio para evitar cualquier otra actividad no autorizada, notificando a todos los clientes que pueden haber sido afectados y compartiendo orientación de mitigación, que incluye instrucciones para nuestros clientes locales sobre cómo aplicar nuestro parche desarrollado recientemente.” La declaración no dio más detalles.

Fortra se negó a comentar más allá de lo que se publicó en la presentación de la SEC del lunes.

La semana pasada, la empresa de seguridad Huntress informó que una infracción experimentada por uno de sus clientes fue el resultado de la explotación de una vulnerabilidad de GoAnywhere que probablemente era CVE-2023-0669. La brecha ocurrió el 2 de febrero aproximadamente al mismo tiempo que Krebs había publicado el aviso privado a Mastodon.

Huntress dijo que el malware utilizado en el ataque era una versión actualizada de una familia conocida como Truebot, que es utilizada por un grupo de amenazas conocido como Silence. Silence, a su vez, tiene vínculos con un grupo rastreado como TA505, y TA505 tiene vínculos con un grupo de ransomware, Clop.

“Según las acciones observadas y los informes anteriores, podemos concluir con confianza moderada que la actividad que observó Huntress tenía la intención de implementar ransomware, con una explotación oportunista potencialmente adicional de GoAnywhere MFT con el mismo propósito”, escribió Joe Slowick, investigador de Huntress.

Más evidencia de que Clop es responsable provino de Bleeping Computer. La semana pasada, la publicación dijo que los miembros de Clop asumieron la responsabilidad de usar CVE-2023-0669 para piratear 130 organizaciones, pero no proporcionaron evidencia para respaldar el reclamo.

En un análisis, los investigadores de la empresa de seguridad Rapid7 describieron la vulnerabilidad como un «problema de deserialización previa a la autenticación» con calificaciones «muy altas» para la explotabilidad y el valor del atacante. Para aprovechar la vulnerabilidad, los atacantes necesitan acceso a nivel de red al puerto de administración de GoAnywhere MFT (por defecto, puerto 8000) o la capacidad de atacar el navegador de un usuario interno.

Dada la facilidad de los ataques y la liberación efectiva de código de prueba de concepto que explota la vulnerabilidad crítica, las organizaciones que usan GoAnywhere deberían tomarse la amenaza en serio. La aplicación de parches es, por supuesto, la forma más efectiva de prevenir ataques. Las medidas provisionales que los usuarios de GoAnywhere pueden tomar en caso de que no puedan parchear de inmediato son garantizar que el acceso a nivel de red al puerto del administrador esté restringido a la menor cantidad de usuarios posible y eliminar el acceso de los usuarios del navegador al punto final vulnerable en su archivo web.xml.

El Camini se inspiró en otra construcción de camioneta Mini que Zimpfer quería emular, y pensó que su camioneta Clubman era lo suficientemente larga como para hacer una cama de tamaño decente. Claro, las conversiones de camionetas ex-Red Bull Mini están a la venta, pero las cajas son cortas y rechonchas y Zimpfer ya era dueño de este Clubman. Era la base perfecta para construir un pequeño ute.

Mejor aún, el de Zimpfer era de tracción total y tenía una transmisión manual de seis velocidades. Eso lo inspiró a optar por un tema todoterreno para la construcción. El Camini ahora tiene un kit de elevación Journeys de 2 pulgadas, rines más pequeños de 16 por 8 pulgadas que se adaptan a neumáticos todoterreno 215/65 más gruesos, una canasta de techo, entrada de snorkel personalizada, barra protectora, revestimiento de cama Toff rociado, y luces de inundación.

Zimpfer me dijo que comenzó la construcción desmontando el interior y perforando puntos de soldadura hasta que solo quedaron los guardabarros traseros. El techo se quitó con un Sawzall y la cama se fabricó con láminas de metal.

«La cama era yo aprendiendo a soldar», dijo Zimpfer. el miniac. «Las soldaduras no eran bonitas, pero al menos eran sólidas».

Los tubos de acero en cada esquina delantera de la cama que bajan al tren de aterrizaje sirven como desagües. Quizás la parte más encantadora de la nueva cama es que Zimpfer mantuvo la mitad inferior de las puertas del granero del Clubman que se abren hacia afuera.

Salieron todas las ventanas traseras del Mini y la ventana trasera de una camioneta Volkswagen Rabbit Mark 1 entró detrás de los asientos del conductor. Se utilizaron láminas de metal y fibra de vidrio para limpiar la apariencia del pilar B, y Zimpfer modificó la tercera luz de freno original y el alerón trasero para que se adaptaran a la nueva ventana de la camioneta Rabbit.

Sellar las puertas traseras para hacer la cama fue uno de los mayores cambios en el Mini. Agregó material cuadrado de acero entre las puertas traseras para que actuara como mamparo de la cama, agregar rigidez al chasis y mantener cerradas permanentemente esas puertas traseras. Se quitaron las manijas de las puertas traseras y se soldaron placas sobre los espacios para que las manijas se suavizaran. El adhesivo estructural Panel Bond selló las costuras de las puertas para que pareciera que las puertas nunca estuvieron allí.

«Una vez que todo estuvo curado y alisado, parecía un camión de dos puertas», dijo Zimpfer. la unidad.

Todo lo que necesitaba entonces era pintura. Solía ​​ser negro, pero ahora lleva un color de Jeep: Rescue Green Metallic.

Zimpfer ahora ensucia su camioneta Mini más que muchas camionetas de tamaño completo, lo cual es una delicia absoluta. El dijo la unidad que usa el Mini para explorar el área alrededor del lago Oneida y Adirondacks, lo que suena genial. La cama es lo suficientemente grande como para ser útil, y la combinación de eso más una baca hacen que parezca la máquina de acampar compacta perfecta.

Puedes seguir las aventuras de minicamionetas de Zimpfer en su Instagram aquí.

¿Tienes un consejo? Envíe un correo electrónico al autor: [email protected]