Tabla de contenido
La explotación de la vulnerabilidad del software de transferencia MOVEit expone datos confidenciales de empresas del Reino Unido y pone en peligro la seguridad de los empleados
Varias empresas destacadas del Reino Unido, incluidas la BBC, British Airways, Boots y Aer Lingus, han sido víctimas de un incidente cibernético significativo. La violación ha expuesto la información personal de los empleados, incluidos datos confidenciales como datos bancarios y de contacto, a piratas informáticos maliciosos. Esta brecha de ciberseguridad se ha atribuido a un grupo de ransomware conocido como Clop, que se centró específicamente en las vulnerabilidades del software de transferencia de archivos MOVEit. El incidente ha suscitado preocupaciones con respecto a la seguridad de los datos de la empresa y el posible impacto en los empleados afectados.
En una audaz declaración enviada por correo electrónico a Reuters, los piratas informáticos se atribuyeron con orgullo la responsabilidad del ataque y emitieron una escalofriante advertencia de que aquellos que se atrevieran a desafiar sus demandas de rescate se enfrentarían al público en el sitio web de su grupo. Investigaciones previas de Microsoft ya habían señalado con el dedo a una pandilla de ransomware de habla rusa, insinuando su participación en el incidente. La impactante revelación se desarrolló la semana pasada cuando los expertos en seguridad cibernética revelaron la explotación de una vulnerabilidad de día cero, una falla peligrosa, dentro del sistema de transferencia de archivos ampliamente utilizado conocido como MOVEit, desarrollado por Progress Software. Esta vulnerabilidad fue la puerta de entrada para que los ciberdelincuentes se infiltraran y extrajeran información confidencial de numerosas empresas globales que confían en MOVEit Transfer.
Innumerables organizaciones son víctimas del impacto generalizado
La impactante revelación se desarrolló el lunes cuando el proveedor de nóminas con sede en el Reino Unido, Zellis, confirmó que ocho de sus clientes habían sido víctimas del incidente cibernético. Si bien no se revelaron los nombres de las organizaciones afectadas, British Airways (BA) reconoció su participación en la angustiosa situación. Con una plantilla de 34.000 personas en el Reino Unido, la exposición de la aerolínea a la filtración es muy preocupante.
La BBC y Boots, conocidas por su amplia plantilla de 50.000 empleados, también se vieron envueltas en el caos. Si bien la emisora expresó su alivio porque los datos bancarios de sus empleados permanecieron seguros, la identificación de la empresa y los números de seguro nacional se vieron comprometidos. Aer Lingus, una subsidiaria de BA, confirmó que el incidente afectó tanto a los miembros del personal actuales como a los anteriores. Sin embargo, ninguna información financiera o bancaria o números de teléfono se vieron comprometidos en este alarmante evento.
La vulnerabilidad de día cero en el producto MOVEit Transfer de Progress Software ha afectado significativamente a numerosas empresas en todo el mundo. Sin embargo, los funcionarios de la compañía han enfatizado que todo el software propiedad de Zellis no se ve afectado y no se han reportado incidentes o compromisos en relación con ningún otro aspecto de su infraestructura de TI.
Profundizando en los orígenes del ataque: un grupo de amenazas con posibles vínculos rusos
Hallazgos recientes de la firma de seguridad cibernética Maidant arrojan luz sobre los orígenes del ataque, identificándolo como un "grupo de amenazas recién creado" llamado UNC4857. Este clúster comprende grupos ciberdelincuentes conocidos, como FIN11 , TA505 y Clop , que han establecido conexiones con Rusia. Sin embargo, el motivo del ataque, ya sea por objetivos políticos o financieros, sigue siendo incierto. Si bien FIN11 ha operado anteriormente únicamente como una organización criminal involucrada en el rescate de datos, plantea la pregunta de si estas redes criminales familiares están detrás del incidente o si están involucrados mercenarios cibernéticos con motivos ideológicos.
Curiosamente, el alcance de las víctimas afectadas por el ataque MOVEit se extiende más allá de los objetivos esperados. El gobierno de Nueva Escocia, un objetivo poco probable para un actor respaldado por el estado, también ha sido víctima. Los informes indican que el ataque tenía el potencial de comprometer alrededor de 2500 servidores MOVEit, amplificando la escala y el impacto de la brecha. Ipswitch, el desarrollador de software de gestión de TI, aún tiene que revelar la cantidad de empresas que utilizaban su software en el momento del incidente antes de implementar una solución.
Lo que les espera a las víctimas: implicaciones y perspectivas
A medida que se desarrolla la situación, las organizaciones de víctimas deben prepararse para posibles intentos de extorsión, exposición pública de datos robados y la posibilidad de ser avergonzados públicamente por el actor de la amenaza. Probablemente, los ciberdelincuentes pronto iniciarán el contacto con sus víctimas, exigiendo extorsiones y apuntando sistemáticamente a los que están en su lista. Para protegerse contra daños mayores, se recomienda que todas las organizaciones, independientemente de cuándo se parcheó el software, realicen un análisis forense exhaustivo de sus sistemas si la interfaz web de MOVEit estuvo expuesta a Internet.
Revelación de la brecha de seguridad cibernética: BA, BBC y Boots exponen los datos bancarios y de contacto capturas de pantalla
