Gangue de Ransomware Clop afirma ter hackeado centenas de empresas globalmente, explorando a vulnerabilidade do MOVEit Transfer. O MOVEit Transfer é uma transferência de arquivo gerenciada usada por empresas para transferir arquivos com segurança usando uploads baseados em SFTP, SCP e HTTP.
Hackers do ransomware Clop exploram bug do MOVEit Transfer
A vulnerabilidade em questão é de injeção de SQL, ela pode ser explorada por um invasor não autenticado para obter acesso não autorizado ao banco de dados do MOVEit Transfer.
Uma vulnerabilidade de injeção de SQL foi encontrada no aplicativo da web MOVEit Transfer que pode permitir que um invasor não autenticado obtenha acesso não autorizado ao banco de dados do MOVEit Transfer.
Dependendo do mecanismo de banco de dados usado (MySQL, Microsoft SQL Server ou Azure SQL), um invasor pode inferir informações sobre a estrutura e o conteúdo do banco de dados, além de executar instruções SQL que alteram ou excluem elementos do banco de dados.
Essa vulnerabilidade afeta todas as versões do MOVEit Transfer, não afeta a versão em nuvem do produto.
No fim de semana, a gangue Clop ransomware foi creditada pela Microsoft pela campanha recente que explora uma vulnerabilidade de zero dia, rastreada como CVE-2023-34362, na plataforma MOVEit Transfer.
Na quarta-feira, a gangue Clop ransomware publicou uma nota de extorsão em seu site de vazamento na dark web, alegando ter informações sobre centenas de empresas. Abaixo, a mensagem.
TEMOS INFORMAÇÕES SOBRE CENTENAS DE EMPRESAS POR ISSO NOSSA DISCUSSÃO FUNCIONARÁ DE FORMA MUITO SIMPLES.
A gangue está pedindo às organizações de vítimas que as contatem antes que seu nome seja adicionado à lista de vítimas no site do vazamento. O grupo fixou o prazo em 14 de junho. No momento, não é possível determinar o número exato de organizações que foram invadidas pela gangue ao explorar a vulnerabilidade do MOVEit Transfer.
Em 31 de maio, os especialistas da Rapid7 descobriram aproximadamente 2.500 instâncias do MOVEit Transfer publicamente acessíveis na Internet, com uma parte significativa localizada nos Estados Unidos.
Uma das organizações que foi hackeada ao explorar o problema acima é o provedor de folha de pagamento Zellis. Um dos clientes da Zellis, a varejista britânica de saúde e beleza e rede de farmácias Boots, também confirmou ter sido afetada pelo ataque. A empresa ainda não determinou o número de funcionários afetados.
Outra empresa impactada é a companhia aérea Aer Lingus, que confirmou que “alguns dados de nossos atuais e antigos funcionários” foram divulgados. Esta não é a primeira vez que a gangue Clop ransomware realiza uma campanha de hackers em grande escala, explorando uma vulnerabilidade de dia zero.