Autoridades de segurança cibernética dos Estados Unidos e da Grã-Bretanha alertaram que o hack de um programa de transferência de arquivos popular entre corporações por uma gangue russa de extorsão cibernética pode ter um impacto global generalizado. As primeiras vítimas de roubo de dados incluem a BBC, a British Airways e o governo da Nova Escócia.
“Esta é potencialmente uma das violações mais significativas dos últimos anos”, disse Brett Callow, analista da empresa de segurança cibernética Emsisoft. “Teremos uma noção melhor de quão significativo é à medida que surgirem mais detalhes sobre o número e o tipo de organizações impactadas.”
O sindicato do ransomware Cl0p anunciou em seu site obscuro na terça-feira que suas vítimas – que ele sugere serem centenas – tinham até 14 de junho para entrar em contato para negociar um resgate ou correr o risco de ter dados confidenciais roubados despejados online.
O programa explorado, MOVEit, é amplamente utilizado por empresas para compartilhar arquivos com segurança. A empresa controladora de sua fabricante americana, a Progress Software, alertou os clientes sobre a violação em 31 de maio e emitiu um patch. Mas os pesquisadores de segurança cibernética dizem que dezenas, senão centenas de empresas podem ter tido dados confidenciais exfiltrados silenciosamente.
“Sem dúvida, existem organizações que ainda nem sabem que foram afetadas”, disse Caitlin Condon, gerente sênior de pesquisa de segurança da empresa de segurança cibernética Rapid7, observando que o MOVEit é particularmente popular na América do Norte.
“Vimos uma ampla gama de organizações afetadas por esse ataque em saúde, serviços financeiros, tecnologia, manufatura, seguros, governo e muito mais”, disse Condon por e-mail, acrescentando que mais empresas podem divulgar roubo de dados, particularmente “à medida que os requisitos de relatórios regulatórios entram em jogo”.
Solicitado a confirmar a identidade de várias vítimas relatadas, um porta-voz do Cl0p respondendo a uma consulta por e-mail da Associated Press disse: “Ainda não examinamos os arquivos da empresa, como você pode ver em nosso site; demos a oportunidade às empresas de decidirem sobre sua privacidade antes de nossas ações.”
A Zellis, uma provedora líder de serviços de folha de pagamento no Reino Unido que atende a British Airways, a BBC e centenas de outras, estava entre os usuários afetados. A Zellis disse na segunda-feira que um “pequeno número” de seus clientes foi afetado pelo que os profissionais de segurança cibernética chamam de violação da cadeia de suprimentos, porque o comprometimento de um único fornecedor de software pode ter um impacto tão profundo.
“Notificamos os colegas cujas informações pessoais foram comprometidas para fornecer suporte e aconselhamento”, disse a British Airways em comunicado.
A BBC, que emprega cerca de 22.000 pessoas em todo o mundo, disse que está trabalhando com Zellis para estabelecer a extensão da violação. A emissora disse em um e-mail enviado na segunda-feira a todos os funcionários e freelancers do Reino Unido que dados como datas de nascimento, números de seguro nacional e endereços residenciais foram divulgados. Mas disse que os detalhes da conta bancária aparentemente não foram comprometidos e que “não há evidências de que os dados estejam sendo explorados”.
A cadeia de farmácias britânica Boots, que emprega mais de 50.000 pessoas, também disse que alertou os funcionários sobre o hack.
O governo da Nova Escócia confirmou no domingo que estava entre as vítimas, dizendo que os dados de alguns moradores foram expostos. A autoridade de saúde da província canadense usa o MOVEit para compartilhar informações sensíveis e confidenciais.
A Universidade de Rochester emitiu um comunicado na sexta-feira passada sugerindo que estava entre as vítimas, mas uma porta-voz, Sara Miller, não confirmou que usou o MOVEit ou discutiu quais dados foram roubados.
‘Dados extremamente sensíveis’
“O que é desconcertante sobre o MOVEit é que ele é usado quase exclusivamente por organizações empresariais para compartilhar dados extremamente confidenciais entre si”, disse Jared Smith, analista de ameaças da empresa de segurança cibernética SecurityScorecard. Essencialmente, empresas que não confiam no Dropbox ou no Google Drive para serem seguras o suficiente para seus negócios.
E isso significa especificamente o tipo de dados confidenciais que “acrescentam mais combustível ao fogo do ecossistema de roubo de identidade já existente”, disse Alex Heid, diretor de pesquisa da Security Scorecard.
A empresa detectou 2.500 servidores MOVEit vulneráveis em 790 organizações, incluindo 200 agências governamentais. Smith disse que não era possível dividir essas agências por país. Não se sabe quantos servidores MOVEit vulneráveis foram invadidos.
Os hackers estavam procurando alvos ativamente, penetrando-os e roubando dados pelo menos desde 29 de março, disse Smith.
A Cl0p está entre os sindicatos de crimes cibernéticos mais prolíficos do mundo e esta não é a primeira vez que viola um programa de transferência de arquivos para obter acesso a dados que poderia usar para extorquir empresas. Outras instâncias incluem servidores GoAnywhere no início de 2023 e dispositivos Accellion File Transfer Application em 2020 e 2021.
Em um comunicado conjunto emitido na quarta-feira, a Agência de Segurança Cibernética e Infraestrutura dos EUA e o FBI disseram que o Cl0p “comprometeu mais de 3.000 organizações com sede nos EUA e 8.000 organizações globais”.
“Pela rapidez e facilidade [with which it] explorou essa vulnerabilidade e, com base em suas campanhas anteriores, o FBI e a CISA esperam ver uma exploração generalizada de serviços de software não corrigidos em redes públicas e privadas.”
A Cl0p afirma que não extorque governos, cidades ou agências policiais, mas especialistas em segurança cibernética dizem que provavelmente é uma tática para tentar evitar conflitos diretos com a aplicação da lei e que a gangue motivada financeiramente não é confiável para manter sua promessa de apagar dados roubados de esses alvos.
Com informações do site Al Jazeera
Compartilhe este post