El gobierno de EE. UU. ha confirmado que varias agencias federales han sido víctimas de ciberataques que aprovechan una vulnerabilidad de seguridad en una popular herramienta de transferencia de archivos.
En un comunicado compartido con TechCrunch, CISA confirmó que «varias» agencias gubernamentales de EE. UU. experimentaron intrusiones relacionadas con la explotación de una vulnerabilidad en MOVEit Transfer, una herramienta de transferencia de archivos empresariales desarrollada por Progress Software. La agencia también atribuyó los ataques a la pandilla de ransomware Clop, vinculada a Rusia, que esta semana comenzó a publicar los nombres de las organizaciones que afirma haber pirateado al explotar la falla de MOVEit.
CISA no dijo cuántas agencias se vieron afectadas por los ataques, que CNN informó por primera vez, y no nombró las agencias involucradas. Sin embargo, el Departamento de Energía confirmó a TechCrunch que dos de sus entidades estaban entre las violadas.
«Después de enterarse de que los registros de dos entidades del DOE se vieron comprometidos durante el ciberataque global en el software de intercambio de archivos MOVEit Transfer, el DOE tomó medidas inmediatas para evitar una mayor exposición a la vulnerabilidad y notificó a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)», un dijo el portavoz del Departamento de Energía. «El Departamento ha notificado al Congreso y está trabajando con las fuerzas del orden público, CISA y las entidades pertinentes para investigar el incidente y mitigar los impactos de la infracción».
De acuerdo a Red de noticias federalesLas universidades asociadas de Oak Ridge y una planta piloto de aislamiento de residuos en Nuevo México fueron las dos entidades del DOE afectadas por la vulnerabilidad, exponiendo «la información de identificación personal de potencialmente decenas de miles de personas, incluidos empleados y contratistas de Energía».
Una docena de otras agencias estadounidenses tienen contratos MOVEit activos, según el Sistema Federal de Adquisición de Datos. Esto incluye el Departamento del Ejército, el Departamento de la Fuerza Aérea y la Administración de Alimentos y Medicamentos.
Durante una conferencia de prensa el jueves sobre la vulnerabilidad de MOVEit, la directora de CISA, Jen Easterly, dijo que la agencia de seguridad cibernética está trabajando con las agencias afectadas «con urgencia para comprender los impactos y garantizar una reparación rápida». Si bien aún no se sabe si se robaron datos, Easterly agregó que las intrusiones no se aprovechan para «robar información específica de alto valor» o para ganar persistencia en los sistemas específicos.
«En resumen, como entendemos, este ataque es en gran parte oportunista», dijo Easterly. «Además, no tenemos conocimiento de ningún actor de Clop que amenace con extorsionar o entregar datos robados a las agencias gubernamentales de EE. UU.».
En una nueva actualización publicada en su oscuro sitio web, Clop afirmó que se habían borrado los datos del gobierno y que aún no se había incluido ninguna agencia gubernamental como víctima.
Sin embargo, Clop agregó otro lote de víctimas que afirma haber comprometido a través de la vulnerabilidad MOVEit, incluido el East Western Bank con sede en Boston Globe, California, la empresa de biotecnología con sede en Nueva York Enzo Biochem y la empresa de inteligencia artificial Nuance, propiedad de Microsoft.
Lynn Granito, portavoz de la agencia que representa a Enzo, le dijo a TechCrunch que la compañía no haría comentarios. Ninguna de las otras empresas recién cotizadas respondió a las preguntas de TechCrunch.
El grupo de ransomware vinculado a Rusia lanzó el primer lote de organizaciones afectadas, una lista que incluye las organizaciones de servicios financieros con sede en EE. UU. 1st Source y First National Bankers Bank y el gigante energético británico Shell, solo un día antes.
A medida que se siguen descubriendo nuevas víctimas, Progress Software se ha movido rápidamente para reparar una nueva vulnerabilidad afectar la transferencia de MOVEit. La vulnerabilidad, identificada como CVE-2023-35708, podría dar lugar a un acceso no autorizado a los entornos de los clientes, advirtió Progress en su aviso.