Ciberseguridad

GoAnywhere la empresa que ofrece envíos de documento seguros, fue Hackeado

Publicado por
On febrero 11, 2023
Comentarios desactivados en GoAnywhere la empresa que ofrece envíos de documento seguros, fue Hackeado

Los creadores de Clop afirman que son los responsables del supuesto ataque mediante una vulnerabilidad Zero Day a la herramienta de transferencia de archivos seguros GoAnywhere MFT, comentando que pudieron acceder a información de más de 130 organizaciones que trabajaban con este servicio.

La falla de seguridad, ahora rastreada como CVE-2023-0669, permite a los atacantes obtener la ejecución remota de código (RCE) en instancias MFT de GoAnywhere, el cual actualmente se encuentra sin parches para su consola administrativa que se encuentra expuesta con acceso a Internet.

El grupo criminal de Clop afirmaron que podrían moverse lateralmente a través de las redes de sus víctimas e implementar cargar útiles de ransomware para encriptar sus sistemas, pero decidieron no hacerlo y solo robaron los documentos almacenados en los servidores de GoAnywhere MFT que se encontraban comprometidos.

El grupo se negó a proporcionar pruebas o compartir detalles adicionales sobre sus afirmaciones.

No se ha podido confirmar de forma independiente las afirmaciones de Clop, y Fortra empresa propietaria de la herramienta y experta en ciberseguridad, no hizo mención a dicho ataque sobre la explotación CVE-2023-0669 y las acusaciones del grupo de ransomware.

Sin embargo, el gerente de inteligencia de amenazas de Huntress, Joe Slowik, vinculó los ataques GoAnywhere MFT con TA505, un grupo de delincuentes conocido por implementar el ransomware Clop en el pasado, mientras investigaba un ataque en el que se implementó la descarga del malware TrueBot.

“Si bien los enlaces no son legítimos, y el análisis de la actividad de Truebot y los mecanismos de implementación indican enlaces a un grupo denominado TA505. Los distribuidores de una familia de ransomware conocida como Clop, informes de varias entidades vinculan la actividad de Silence/Truebot con las operaciones de TA505”, dijo Slowik.

“Según las acciones observadas y los informes anteriores, podemos concluir con confianza moderada que la actividad que observó Huntress tenía la intención de implementar ransomware, con una explotación oportunista potencialmente adicional de GoAnywhere MFT con el mismo propósito”.

El desarrollo de GoAnywhere MFT, Fortra (anteriormente conocido como HelpSystems), reveló a sus clientes la semana pasada que la vulnerabilidad estaba siendo explotada como un Zero Day.

El lunes, también se lanzó en línea un exploit de prueba de concepto, que permite la ejecución remota de código no autenticado en servidores vulnerables.

Desde entonces, Fortra ha publicado otra actualización en su sitio web de soporte (accesible solo para clientes) el jueves, diciendo que algunas de sus instancias de MFTaaS también fueron violadas en los ataques.

“Hemos determinado que una parte no autorizada accedió a los sistemas a través de un exploit previamente desconocido y creó cuentas de no autorizadas”, dijo Fortra.

“Como parte de nuestras acciones para abordar esto y por precaución, hemos implementado una interrupción temporal del servicio. El servicio continúa restableciéndose cliente por cliente a medida que se aplica y verifica la mitigación dentro de cada entorno.

“Estamos trabajando directamente con los clientes para evaluar su impacto potencial individual, aplicar mitigaciones y restaurar los sistemas”.

CISA también agregó la vulnerabilidad CVE-2023-0669 GoAnywhere MFT a su catálogo de Vulnerabilidades Explotadas Conocidas el viernes, ordenando a las agencias federales parchear sus sistemas dentro de las próximas tres semanas, hasta el 3 de marzo.

Si bien Shodan muestra que más de 1000 instancias de GoAnywhere están expuestas en línea, solo 135 están en los puertos 8000 y 8001 (los que usa la consola de administración vulnerable).

No hay texto alternativo para esta imagen
Resultados de la búsqueda de GoAnywhere en shodan.io

Ataques de extorsión Accellion de Clop

El supuesto uso de Clop de Zero Day contra GoAnywhere MFT para robar datos es una táctica muy similar a la que usaron en diciembre de 2020, cuando descubrieron y explotaron una vulnerabilidad de Zero Day de Accellion FTA para robar los datos de aproximadamente 100 empresas.

En ese momento, las empresas recibían correos electrónicos que exigían pagos de rescate de 10 millones de dólares para evitar que sus datos se filtraran públicamente.

En los ataques de Accellion de 2020, los operadores de Clop robaron grandes cantidades de datos de empresas de alto perfil utilizando el dispositivo de transferencia (FTA) heredado de Accellion.

Las organizaciones a las que Clop hackeó sus servidores incluyen, entre otras, el gigante de la energía Shell, el gigante de los supermercados Kroger, la firma de seguridad cibernética Qualys y múltiples universidades en todo el mundo.

En junio de 2021, parte de la infraestructura de Clop se cerró luego de una operación policial internacional con nombre en código Operación Ciclón cuando seis lavadores de dinero que brindaban servicios a la banda de ransomware Clop fueron arrestados en Ucrania.

Este grupo también se ha relacionado con ataques de ransomware en todo el mundo desde al menos 2019. Algunas de las víctimas cuyos servidores fueron encriptados por Clop incluyen la Universidad de Maashtricht, Software AG IT, ExecuPharm e Inidabulls.

Fuentes: