Mais vítimas do hack MOVEit vieram à tona, com um total de mais de 130 organizações e milhões de indivíduos que foram impactados.
Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft, tem monitorado a campanha, que explorou uma vulnerabilidade de dia zero no produto de transferência de arquivo gerenciado (MFT) MOVEit Transfer da Progress Software para obter acesso a dados pertencentes a organizações que estavam usando a solução.
Callow está ciente de 138 organizações conhecidas por terem sido impactado pela campanhacom as violações de dados resultando no comprometimento de informações pessoais de mais de 15 milhões de pessoas.
O grupo de crimes cibernéticos vinculado à Rússia, conhecido por operar o ransomware Cl0p, assumiu o crédito pelo ataque, alegando que foi o único agente de ameaças a saber sobre a exploração de dia zero do MOVEit antes de ser corrigida.
Os hackers afirmam ter atingido muitas organizações e começaram a nomear aquelas que se recusaram a pagar ou entrar em negociações. Recentemente, eles nomearam mais de 60 entidades que parecem ter sido alvo da vulnerabilidade MOVEit, que o grupo pode estar testando desde 2021.
A lista inclui grandes organizações como Shell (elas já vazaram dados supostamente roubados da gigante de energia), Siemens Energy, Schneider Electric, UCLA, Sony, EY, PwC, Cognizant e AbbVie. Os escritórios de advocacia Kirkland & Ellis e K&L Gates também foram adicionados ao site de vazamento de Cl0p.
A Siemens Energy e a Schneider Electric confirmaram para Cibersegurança Notícias que eles foram visados.
A EY também confirmou ser alvo e disse Cibersegurança Notícias que está investigando o incidente.
“Verificamos que a grande maioria dos sistemas que usam esse serviço de transferência em nossa organização global não foram comprometidos. Estamos investigando manualmente e minuciosamente os sistemas onde os dados podem ter sido acessados”, disse a gigante dos serviços financeiros em comunicado por e-mail. “Nossa prioridade é comunicar aos afetados, bem como às autoridades relevantes, e nossa investigação está em andamento.”
A UCLA também admitiu que a vulnerabilidade foi explorada para obter acesso à sua plataforma MOVEit e disse que notificou os indivíduos afetados, mas apontou que não via isso como um ‘incidente de ransomware’ – provavelmente porque o malware de criptografia de arquivos não foi implantado no ataque. Ele também observou que não há evidências de que outros sistemas do campus tenham sido afetados.
Callow, da Emsisoft, disse que também há mais de uma dúzia de organizações governamentais envolvidas no incidente. A lista inclui o Departamento de Energia dos EUA e o . O e o recentemente também confirmaram ter sido atingidos. O e as escolas que trabalham com ele também foram afetados.
No entanto, os cibercriminosos alegaram em seu site que excluíram dados obtidos de mais de 30 organizações governamentais e relacionadas ao governo, pois não estão interessados em tais entidades, destacando que sua motivação é puramente financeira.
: