Los piratas informáticos lanzan otra ola de ataques masivos dirigidos a las herramientas de transferencia de archivos de la empresa

Los piratas informáticos lanzan otra ola de ataques masivos dirigidos a las herramientas de transferencia de archivos de la empresa

Los investigadores de seguridad están haciendo sonar la alarma después de que los piratas informáticos fueran atrapados explotando una vulnerabilidad recién descubierta en una popular herramienta de transferencia de archivos utilizada por miles de organizaciones para lanzar una nueva ola de exfiltración de datos de ataques masivos.

La vulnerabilidad afecta al software de transferencia de archivos administrado MOVEit Transfer (MFT) desarrollado por Ipswitch, una subsidiaria de Progress Software con sede en EE. UU., que permite a las organizaciones compartir grandes archivos y conjuntos de datos a través de Internet. Progreso confirmado el miércoles que descubrió una vulnerabilidad en MOVEit Transfer que «podría conducir a la elevación de privilegios y un posible acceso no autorizado al entorno», e instó a los usuarios a desactivar el tráfico de Internet en su entorno de MOVEit Transfer.

Las correcciones están disponibles y Progress insta a todos los clientes a aplicarlo con urgencia.

La agencia de ciberseguridad estadounidense CISA también está instando Las organizaciones de EE. UU. deben seguir los pasos de mitigación de Progress, aplicar las actualizaciones necesarias y verificar si hay actividad maliciosa.

Las herramientas de transferencia de archivos empresariales se han convertido en un objetivo cada vez más atractivo para los piratas informáticos, ya que el descubrimiento de una vulnerabilidad en un sistema empresarial popular puede permitir el robo de datos de múltiples víctimas.

LEER  Los vehículos eléctricos están cayendo | crisis tecnológica

Jocelyn VerVelde, portavoz de Progress a través de una agencia de relaciones públicas externa, se negó a decir cuántas organizaciones usan la herramienta de transferencia de archivos afectada, aunque el sitio web de la compañía dice que «miles de organizaciones en todo el mundo» usan el software. Shodan, un motor de búsqueda de dispositivos y bases de datos expuestos públicamente, revela más de 2500 servidores MOVEit Transfer detectables en Internet, la mayoría de los cuales están ubicados en los Estados Unidos, así como los Reino Unido, Alemania, Países Bajos y Canadá.

La vulnerabilidad también afecta a los clientes que confían en la plataforma en la nube MOVEit Transfer, de acuerdo a investigador de seguridad Kevin Beaumont. Al menos una instancia expuesta está conectada con el Departamento de Seguridad Nacional de EE. UU., y también se cree que varios «grandes bancos» son clientes de MOVEIt igualmente afectados, según Beaumont.

Varias empresas de seguridad dicen que ya han observado evidencia de explotación.

Mandiant dijo que estaba investigando «varias intrusiones» vinculadas a la explotación de la vulnerabilidad MOVEit. El director de tecnología de Mandiant, Charles Carmakal, confirmó que Mandiant había «visto evidencia de exfiltración de datos en múltiples víctimas».

LEER  Una comparación entre los préstamos hipotecarios y los financiamientos. | Anzures | México

La startup de ciberseguridad Huntress dijo en un entrada en el blog que uno de sus clientes vio «una cadena de ataque completa y todos los indicadores correspondientes de compromiso».

Mientras tanto, la firma de investigación de seguridad Rapid7 ha confirmado que ha observado signos de explotación y robo de datos en «al menos cuatro incidentes separados». Caitlin Condon, directora sénior de investigación de seguridad de Rapid7, dijo que la compañía ha visto evidencia de que los atacantes pueden haber comenzado a automatizar la explotación.

Si bien no está claro exactamente cuándo comenzó la explotación, la empresa de inteligencia de amenazas GreyNoise ha dicho observó actividad de escaneo desde el 3 de marzo e insta a los usuarios a examinar los sistemas en busca de indicadores de acceso no autorizado que pueda haber ocurrido en los últimos 90 días.

Aún no está claro quién es el responsable de la explotación masiva de los servidores MOVEit.

Condon de Rapid7 le dijo a TechCrunch que el comportamiento del atacante parece ser «oportunista en lugar de dirigido», y agregó que «podría ser el trabajo de un solo actor de amenazas que lanza un exploit indiscriminadamente en objetivos expuestos».

LEER  Si la ciberseguridad no es a prueba de recesión, ¿qué es?

Este es el último esfuerzo de los piratas informáticos y los grupos de extorsión para atacar los sistemas de transferencia de archivos empresariales en los últimos años.

En enero, la banda de ransomware Clop, vinculada a Rusia, se atribuyó la responsabilidad de la explotación masiva de un vulnerabilidad en el software de transferencia de archivos administrado GoAnywhere de Fortra. Se apuntó a más de 130 organizaciones que utilizan GoAnywhere, incluida una empresa de atención médica con sede en Florida NaciónBeneficiosproveedor de terapia virtual Línea de luzy la Ciudad de Toronto.

Clop también estuvo detrás de otro ataque generalizado a otra popular herramienta de transferencia de archivos en 2021. La pandilla pirateó la herramienta de intercambio de archivos de Accellion para lanzar ataques contra varias organizaciones, en particular Morgan Stanleyla Universidad de California, el gigante de las tiendas de comestibles Kroger y el bufete de abogados Jones Day.

Más contenidos sobre empresas en América Latina