\n<\/aside>\n<\/p>\n
Organizaciones grandes y peque\u00f1as est\u00e1n siendo v\u00edctimas de la explotaci\u00f3n masiva de una vulnerabilidad cr\u00edtica en un programa de transferencia de archivos ampliamente utilizado. La explotaci\u00f3n comenz\u00f3 durante el feriado del D\u00eda de los Ca\u00eddos, mientras que la vulnerabilidad cr\u00edtica a\u00fan era un d\u00eda cero, y contin\u00faa ahora, unos nueve d\u00edas despu\u00e9s.<\/p>\n
A partir del lunes por la noche, se sab\u00eda que el servicio de n\u00f3mina Zellis, la provincia canadiense de Nueva Escocia, British Airways, la BBC y el minorista brit\u00e1nico Boots hab\u00edan sufrido el robo de datos a trav\u00e9s de los ataques, que son alimentados por una vulnerabilidad parcheada recientemente en MOVEit, un proveedor de transferencia de archivos que ofrece servicios locales y en la nube. Tanto Nova Scotia como Zellis sufrieron brechas en sus propias instancias o servicios en la nube. British Airways, la BBC y Boots eran clientes de Zellis. Toda la actividad de pirater\u00eda se ha atribuido al sindicato del crimen Clop de habla rusa.<\/p>\n
Extendido y bastante sustancial<\/h2>\n A pesar de la cantidad relativamente peque\u00f1a de infracciones confirmadas, los investigadores que monitorean los ataques en curso describen la explotaci\u00f3n como generalizada. Comparan los hacks con robos de romper y agarrar, en los que se rompe una ventana y los ladrones agarran lo que pueden, y advierten que los robos r\u00e1pidos est\u00e1n afectando a bancos, agencias gubernamentales y otros objetivos en n\u00fameros alarmantemente altos.<\/p>\n
\u201cTenemos un pu\u00f1ado de clientes que ejecutaban MOVEit Transfer abierto a Internet, y todos estaban comprometidos\u201d, escribi\u00f3 Steven Adair, presidente de la firma de seguridad Volexity, en un correo electr\u00f3nico. \u201cOtras personas con las que hemos hablado han visto algo similar\u201d.<\/p>\n
Adair continu\u00f3:<\/p>\n
\nNo quiero categorizar a nuestros clientes en este punto, ya que no s\u00e9 qu\u00e9 hay en t\u00e9rminos de qui\u00e9n est\u00e1 ejecutando el software y regalarlos. Dicho esto, sin embargo, son tanto las organizaciones grandes como las peque\u00f1as las que se han visto afectadas. Todos los casos que hemos investigado han implicado alg\u00fan nivel de exfiltraci\u00f3n de datos. Los atacantes generalmente tomaron archivos de los servidores MOVEit menos de dos horas despu\u00e9s de la explotaci\u00f3n y el acceso de shell. Creemos que esto probablemente fue generalizado y que una cantidad considerable de servidores de MOVEit Transfer que ejecutaban servicios web orientados a Internet se vieron comprometidos.<\/p>\n<\/blockquote>\n
Caitlin Condon, gerente senior de investigaci\u00f3n de seguridad que dirige el brazo de investigaci\u00f3n de la firma de seguridad Rapid7, dijo que normalmente su equipo reserva el t\u00e9rmino \u00abamenaza generalizada\u00bb para eventos que involucran \u00abmuchos atacantes, muchos objetivos\u00bb. Los ataques en curso no tienen ninguno. Hasta el momento, solo hay un atacante conocido: Clop, un grupo de habla rusa que se encuentra entre los actores de ransomware m\u00e1s prol\u00edficos y activos. Y con el motor de b\u00fasqueda de Shodan indexando solo 2510 instancias de MOVEit orientadas a Internet cuando comenzaron los ataques, es justo decir que no hay \u00abmuchos objetivos\u00bb, en t\u00e9rminos relativos.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nEn este caso, sin embargo, Rapid7 est\u00e1 haciendo una excepci\u00f3n.<\/p>\n
\u201cNo estamos viendo actores de amenazas de productos b\u00e1sicos o atacantes poco calificados lanzando exploits aqu\u00ed, pero la explotaci\u00f3n de objetivos de alto valor disponibles a nivel mundial en una amplia gama de tama\u00f1os de organizaciones, verticales y ubicaciones geogr\u00e1ficas nos inclina la balanza al clasificar esto. como una amenaza generalizada\u201d, explic\u00f3 en un mensaje de texto.<\/p>\n
Se\u00f1al\u00f3 que el lunes fue solo el tercer d\u00eda h\u00e1bil desde que el incidente se hizo ampliamente conocido, y es posible que muchas v\u00edctimas reci\u00e9n ahora se est\u00e9n enterando de que estaban comprometidas. \u201cEsperamos ver una lista m\u00e1s larga de v\u00edctimas a medida que pasa el tiempo, particularmente a medida que entran en juego los requisitos reglamentarios para informar\u201d, escribi\u00f3.<\/p>\n
Mientras tanto, el investigador independiente Kevin Beaumont, dicho<\/a> en las redes sociales el domingo por la noche: \u00abHe estado rastreando esto: hay un n\u00famero de dos d\u00edgitos de organizaciones a las que les robaron datos, que incluye varias organizaciones gubernamentales y bancarias de EE. UU.\u00bb.<\/p>\nLa vulnerabilidad de MOVEit proviene de una falla de seguridad que permite la inyecci\u00f3n de SQL, una de las clases de explotaci\u00f3n m\u00e1s antiguas y comunes. A menudo abreviadas como SQLi, estas vulnerabilidades generalmente se derivan de una falla de una aplicaci\u00f3n web para eliminar adecuadamente las consultas de b\u00fasqueda y otras entradas de caracteres del usuario que una aplicaci\u00f3n podr\u00eda considerar un comando. Al ingresar cadenas especialmente dise\u00f1adas en campos de sitios web vulnerables, los atacantes pueden enga\u00f1ar a una aplicaci\u00f3n web para que devuelva datos confidenciales, otorgue privilegios administrativos al sistema o altere la forma en que funciona la aplicaci\u00f3n.<\/p>\n<\/p><\/div>\n