Microsoft afferma che la banda di ransomware Clop è dietro gli attacchi di massa di MOVEit, mentre le prime vittime si fanno avanti
I ricercatori di sicurezza hanno collegato una nuova ondata di hack di massa contro un popolare strumento di trasferimento di file alla famigerata banda di ransomware Clop, mentre le prime vittime degli attacchi iniziano a farsi avanti.
La scorsa settimana è stato rivelato che gli hacker stanno sfruttando una vulnerabilità scoperta di recente in MOVEit Transfer, uno strumento di trasferimento file ampiamente utilizzato dalle aziende per condividere file di grandi dimensioni su Internet.
La vulnerabilità consente agli hacker di ottenere l'accesso non autorizzato al database di un server MOVEit interessato.
Progress Software, che sviluppa il software MOVEit, ha già rilasciato alcune patch.
Nel fine settimana hanno cominciato a farsi avanti le prime vittime degli attentati.
Zellis, un produttore di software per le risorse umane e fornitore di buste paga con sede nel Regno Unito, ha confermato a TechCrunch che il suo sistema MOVEit è stato compromesso, con l'incidente che ha colpito un "piccolo numero" dei suoi clienti aziendali.
Uno di questi clienti è il gigante delle compagnie aeree britanniche British Airways, che ha dichiarato a TechCrunch che la violazione includeva i dati sulle buste paga di tutti i suoi dipendenti con sede nel Regno Unito.
"Siamo stati informati che siamo una delle società colpite dall'incidente di sicurezza informatica di Zellis che si è verificato tramite uno dei loro fornitori di terze parti chiamato MOVEit", ha detto a TechCrunch il portavoce di British Airways Jason Turnnidge-Betts.
“Zellis fornisce servizi di supporto alle buste paga a centinaia di aziende nel Regno Unito, di cui noi siamo una.
Abbiamo informato quei colleghi le cui informazioni personali sono state compromesse per fornire supporto e consulenza.
British Airways non ha confermato quanti dipendenti sono interessati, ma attualmente ha circa 35.000 dipendenti in tutto il mondo.
Anche la BBC del Regno Unito ha confermato di essere stata colpita dall'incidente che ha colpito Zellis.
Un portavoce della BBC, che ha rifiutato di fornire il proprio nome, ha dichiarato a TechCrunch: “Siamo a conoscenza di una violazione dei dati presso il nostro fornitore di terze parti, Zellis, e stiamo lavorando a stretto contatto con loro mentre indagano urgentemente sull'entità della violazione.
Prendiamo molto sul serio la sicurezza dei dati e stiamo seguendo le procedure di segnalazione stabilite”.
Il governo della Nuova Scozia, che utilizza MOVEit per condividere file tra i dipartimenti, ha affermato in una dichiarazione che le informazioni personali di alcuni cittadini potrebbero essere state compromesse.
Il governo della Nuova Scozia ha affermato di aver disattivato il sistema interessato e sta lavorando per determinare "esattamente quali informazioni sono state rubate e quante persone sono state colpite".
Inizialmente non era chiaro chi ci fosse dietro questa nuova ondata di hack, ma i ricercatori di sicurezza Microsoft stanno attribuendo gli attacchi informatici a un gruppo che traccia come "Lace Tempest".
Questa banda è una nota affiliata del gruppo ransomware Clop legato alla Russia, precedentemente collegato ad attacchi di massa che sfruttavano i difetti nello strumento di trasferimento file GoAnywhere di Fortra e nell'applicazione di trasferimento file di Accellion.
I ricercatori Microsoft hanno affermato che lo sfruttamento della vulnerabilità MOVEit è spesso seguito dall'esfiltrazione di dati.
Microsoft attribuisce gli attacchi che sfruttano la vulnerabilità CVE-2023-34362 MOVEit Transfer 0-day a Lace Tempest, nota per le operazioni ransomware e per l'esecuzione del sito di estorsioni Clop.
L'autore della minaccia ha utilizzato vulnerabilità simili in passato per rubare dati ed estorcere vittime.
pic.twitter.com/q73WtGru7j — Microsoft Threat Intelligence (@MsftSecIntel) 5 giugno 2023 Mandiant non sta ancora facendo la stessa attribuzione di Microsoft, ma ha notato in un post sul blog durante il fine settimana che ci sono "notevoli" somiglianze tra un nuovo ha creato un cluster di minacce chiamato UNC4857 che ha ancora "motivazioni sconosciute" e FIN11, un gruppo ransomware ben consolidato noto per gestire Clop ransomware.
"L'analisi in corso dell'attività emergente può fornire ulteriori approfondimenti", ha affermato Mandiant.
Charles Carmakal, chief technology officer di Mandiant, ha confermato a TechCrunch la scorsa settimana che la società aveva "visto prove di esfiltrazione di dati da più vittime".
È probabile che molte altre vittime della violazione di MOVEit vengano alla luce nei prossimi giorni.
Shodan, un motore di ricerca per dispositivi e database pubblicamente esposti, ha mostrato che più di 2.500 server MOVEit Transfer erano rilevabili su Internet.
Gli hacker lanciano un'altra ondata di hack di massa contro gli strumenti di trasferimento di file aziendali