MOVEit es una solución de transferencia de archivos gestionada (MFT) desarrollada por Progress Software, que permite a las empresas enviar y recibir archivos de forma segura. Sin embargo, el pasado 31 de mayo, Progress Software alertó a sus clientes de que existía una vulnerabilidad de inyección SQL (SQLi) en MOVEit que estaba siendo explotada activamente por los atacantes. La vulnerabilidad, identificada como CVE-2023-34362, permitía a los atacantes ejecutar código remoto en los servidores vulnerables. |
Un grupo de ciberdelincuentes conocido como CL0P ha aprovechado una vulnerabilidad desconocida en el software de transferencia de archivos MOVEit para robar datos de decenas de organizaciones, según informaron varias fuentes de seguridad.
Según un informe de Mandiant, los intentos de explotación de esta vulnerabilidad se detectaron por primera vez el 27 de mayo. Ese mismo día, los investigadores de Akamai observaron intentos de explotación contra uno de sus clientes financieros, que fueron bloqueados por el motor de seguridad adaptativa de Akamai. La campaña de ataque fue atribuida a CL0P, un grupo de ransomware ruso que se dedica a extorsionar a sus víctimas mediante la exfiltración de datos.
Los atacantes han explotado la vulnerabilidad SQLi para desplegar una web shell personalizada (LEMURLOOT) para lograr persistencia en las redes de las víctimas y facilitar el ataque posterior. Según Microsoft, el grupo también ha utilizado otras herramientas maliciosas como Cobalt Strike y Mimikatz para moverse lateralmente y robar credenciales.
CL0P ha publicado en su blog los datos robados a varias organizaciones, entre las que se encuentran universidades, empresas farmacéuticas, bancos y organismos gubernamentales. Algunas de las víctimas son Shell, Stanford University, University of California y University of Maryland.
Progress Software ha publicado una actualización que soluciona la vulnerabilidad CVE-2023-34362 y ha recomendado a sus clientes que la instalen lo antes posible. Además, ha proporcionado algunas medidas de mitigación para reducir el riesgo de explotación.
El FBI y la CISA han publicado un aviso conjunto sobre el grupo CL0P y sus tácticas, técnicas y procedimientos (TTPs), así como algunos indicadores de compromiso (IOCs) para ayudar a las organizaciones a protegerse contra este tipo de ransomware. Ambas agencias han instado a las organizaciones a realizar copias de seguridad regulares de sus datos, actualizar y parchear sus sistemas, restringir el acceso y los privilegios solo a lo necesario, monitorizar los puertos, protocolos y servicios de red, y activar las configuraciones de seguridad en los dispositivos de infraestructura de red como cortafuegos y routers.