Distintas agencias de Estados Unidos se vieron comprometidas por una campaña de piratería, en la que hackers explotaron fallas en una herramienta de software popular para recopilar información de una variedad de víctimas.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EU, una unidad del Departamento de Seguridad Nacional, confirmó este jueves que varias agencias gubernamentales se vieron afectadas por piratas informáticos. Ni los nombres de las agencias ni el alcance de los ataques quedaron claros de inmediato.
Los piratas informáticos de habla rusa, conocidos como Clop, han llevado a cabo una serie de ataques recientes que explotaron una vulnerabilidad en MOVEit, un popular producto de transferencia de archivos.
“CISA está brindando apoyo a varias agencias federales que han experimentado intrusiones que afectan sus aplicaciones MOVEit”, dijo Eric Goldstein, subdirector ejecutivo de seguridad cibernética de CISA, en un comunicado compartido con Bloomberg. CNN informó anteriormente que la agencia estaba respondiendo a los ataques.
CISA está “trabajando urgentemente para comprender los impactos y garantizar una remediación oportuna”, dijo Goldstein. El 1 de junio, CISA emitió un aviso de seguridad sobre una vulnerabilidad en el software MOVEit.
La actualización del jueves se produce después de que empresas de todo el mundo señalaran su propia experiencia con la campaña de piratería.
Shell Plc dijo que estaba investigando una posible violación de datos después de que Clop la atacara. La pandilla incluyó a Shell entre una docena de presuntas nuevas víctimas, que abarcan los EU y Europa, en su sitio web el miércoles por la noche. Además de Shell, los otros incluían una universidad estadounidense, empresas de seguros y manufactura, así como bancos, empresas de inversión y servicios financieros.
Si bien Clop dio a las empresas afectadas hasta el 14 de junio para ponerse en contacto con sus demandas de rescate, el grupo no parece haber publicado ningún dato robado en su sitio web hasta el jueves por la mañana. Clop obtuvo acceso a través de una falla en el producto MOVEit de Progress Software Corp. Shell dijo que la herramienta es utilizada por “una pequeña cantidad de empleados y clientes de Shell”.
“No hay evidencia de impacto en los sistemas centrales de TI de Shell”, dijo Amir Paivar, un vocero de la compañía. “Nuestros equipos de TI están investigando”. Agregó que la empresa no se comunicaba con los piratas informáticos.
La empresa alemana de impresión y embalaje Heidelberg también estaba en la lista, aunque un portavoz dijo que el incidente fue contrarrestado y no condujo a una filtración de datos. Landal GreenParks, una empresa holandesa de campamentos y recreación, dijo que la banda había accedido a los datos de los huéspedes, incluidos los nombres y los datos de contacto de unas 12 mil personas. Un portavoz dijo que no está claro “si se han aprovechado de ese acceso”. La empresa informó a la autoridad de protección de datos holandesa y deshabilitó el servidor comprometido.
Entre las víctimas previamente reveladas se encuentran British Airways de IAG SA, British Broadcasting y el regulador de comunicaciones del Reino Unido, Ofcom. Progress dijo que ha emitido un parche para la falla.
“Seguimos enfocados en apoyar a nuestros clientes ayudándolos a tomar las medidas necesarias para proteger aún más sus entornos, incluida la aplicación de los parches que hemos lanzado”, según John Eddy, un portavoz de Progress. “También continuamos compartiendo información de manera transparente para permitir que toda la industria combata mejor a los ciberdelincuentes sofisticados que intentan descubrir y explotar maliciosamente las vulnerabilidades en los productos de software de uso común”.
La pandilla Clop ha afirmado que tiene información de “cientos de empresas”, aunque no está claro cuántas están afectadas.
British Airways, la cadena de farmacias Boots y la BBC dijeron al personal que la información personal podría haberse visto comprometida después de un ciberataque a su proveedor de nómina, Zellis. Otras víctimas incluyeron Aer Lingus, el gobierno de Nueva Escocia y el Departamento de Educación de Minnesota. En el último caso, los piratas informáticos robaron archivos que incluían alrededor de 95 mil nombres de estudiantes colocados en hogares de guarda en todo el estado.
Clop ha dicho que borró datos de gobiernos, ciudades y agencias policiales. Pero Kevin Burns, un portavoz del Departamento de Educación de Minnesota, dijo: “Estamos tomando todo eso con pinzas”.
¿Qué es Clop?
Clop, a veces denominado Cl0p, es el nombre de una variante de ransomware que se ha implementado contra empresas y organizaciones de todo el mundo y, a veces, también se refiere a la banda de piratas informáticos que la utiliza. La pandilla es de habla rusa y sus ataques han causado daños por cientos de millones de dólares, según la firma de ciberseguridad Trend Micro.
Si bien varios presuntos miembros de la pandilla han sido arrestados, la actividad de piratería del grupo no se interrumpió, según el Departamento de Salud y Servicios Humanos de EU, Clop es el sucesor del ransomware CryptoMix, que se cree que se desarrolló en Rusia y se ha utilizado con frecuencia para apuntar a la industria de la atención médica, según el HHS.
Además de implementar ransomware, que encripta los archivos de la víctima, los piratas informáticos de Clop a veces roban datos. Los grupos de piratas informáticos se están moviendo hacia el robo de datos en lugar de cifrar archivos como una forma de chantajear a las víctimas.