Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Falha no MoveIt Transfer leva a uma onda de divulgações de violação de dados
Uma falha crítica de dia zero no produto MoveIt Transfer da Progress Software levou a uma onda de ataques contra organizações como o fornecedor de software de RH Zellis, bem como o governo da Nova Escócia, Canadá.
A falha tornou-se de conhecimento público em 31 de maio, quando a Progress detalhou um bug de injeção SQL, agora rastreado como CVE-2023-34362, em seu software de transferência gerenciada de arquivos (MFT) MoveIt Transfer. A Progress instou os clientes a aplicar mitigações imediatamente para a vulnerabilidade, que já estava sob ataque, enquanto trabalhava em um patch que foi lançado mais tarde naquele dia. Fornecedores de segurança como o Rapid7 relataram logo depois que a falha estava sendo explorada ativamente na natureza. A Microsoft publicou no domingo uma nova pesquisa creditando os ataques a um ator de ameaça que apelidou de "Lace Tempest", que estava ligado à gangue de ransomware Clop.
Várias organizações já confirmaram violações de dados que ocorreram como resultado da vulnerabilidade, seja por meio da falha diretamente ou downstream. A Zellis, com sede no Reino Unido, disse em comunicado à imprensa na segunda-feira que "um pequeno número de nossos clientes foi afetado por esse problema global e estamos trabalhando ativamente para apoiá-los".
“Assim que tomamos conhecimento desse incidente, tomamos medidas imediatas, desconectando o servidor que utiliza o software MoveIt e contratando uma equipe de resposta a incidentes de segurança externa especializada para ajudar na análise forense e no monitoramento contínuo”, diz o comunicado. "Também notificamos o ICO, o DPC e o NCSC no Reino Unido e na Irlanda. Empregamos processos de segurança robustos em todos os nossos serviços e todos continuam funcionando normalmente."
A BBC, a British Airways (BA) e a varejista britânica Boots confirmaram os ataques resultantes da falha, e a BA confirmou à publicação irmã da TechTarget, ComputerWeekly, que sua violação começou a jusante da Zellis.
O governo da Nova Escócia, no Canadá, também confirmou um ataque vinculado ao MoveIt Transfer na terça-feira por meio de um comunicado à imprensa. O governo estimou que os dados pessoais de até 100.000 funcionários públicos anteriores e atuais podem ter sido comprometidos como resultado de sua violação.
“A província determinou que as informações pessoais de muitos funcionários da Nova Scotia Health, do IWK Health Center e do serviço público foram roubadas na violação de segurança cibernética global do MoveIt”, dizia o comunicado à imprensa. "Até agora, a investigação provincial indica que números de seguro social, endereços e informações bancárias foram roubados. Informação."
A Universidade de Rochester, com sede em Nova York, divulgou uma violação em 2 de junho, embora não tenha feito referência ao MoveIt Transfer pelo nome. Referiu-se à origem do ataque sofrido como "uma vulnerabilidade de software em um produto fornecido por uma empresa terceirizada de transferência de arquivos" que "afetou a Universidade e aproximadamente 2.500 organizações em todo o mundo".
“No momento, acreditamos que professores, funcionários e alunos podem ser afetados, mas ainda não sabemos o escopo completo do impacto para os membros da comunidade universitária ou quais dados pessoais foram acessados, pois a investigação está em andamento”, disse a divulgação da violação. ler. "Forneceremos atualizações assim que disponíveis."
A TechTarget Editorial contatou a universidade para confirmar se o ataque estava vinculado ao MoveIt Transfer, mas a universidade não respondeu até o momento.
A Clop anunciou em seu site de vazamento de dados no início desta semana que começará a postar os nomes das vítimas no site se essas organizações não entrarem em contato com a gangue de ransomware até 14 de junho. A gangue, que se autodenomina "uma das principais organizações [ que] oferecem serviço de teste de penetração após o fato", disse que começará a publicar os dados das vítimas após sete dias se o pagamento não for feito.
Estranhamente, a Clop também anunciou que apagou todos os dados de agências governamentais, serviços municipais ou departamentos de polícia, e que essas organizações não precisam entrar em contato com a gangue do ransomware. "Não temos interesse em expor tais informações", disse Clop.