A cidade de Toronto confirma roubo de dados, grupo Clop assume a responsabilidade
24 de Março de 2023

A cidade de Toronto está entre as últimas vítimas do grupo de ransomware Clop na onda de invasões ao sistema GoAnywhere.

Outras vítimas incluem a Virgin Red do Reino Unido e a corporação estatutária Pension Protection Fund.

Através da exploração de uma falha de execução de código remoto na ferramenta de transferência segura de arquivos GoAnywhere da Fortra, o Clop afirma ter invadido mais de 130 organizações até agora.

O grupo de ransomware Clop atingiu a cidade de Toronto em seus ataques contínuos direcionados a organizações que usam a solução de transferência de arquivos GoAnywhere vulnerável.

O grupo de ransomware anteriormente listou a vítima em seu site dark web de vazamento de dados, de acordo com o analista de inteligência de ameaças Dominic Alvieri, que tem monitorado o desenvolvimento e compartilhou a descoberta com a BleepingComputer.

"Em 20 de março, a cidade tomou conhecimento de um possível acesso não autorizado a dados da cidade", disse um porta-voz da cidade de Toronto à BleepingComputer.

"Hoje, a cidade de Toronto confirmou que houve acesso não autorizado a dados da cidade por meio de um fornecedor terceirizado. O acesso é limitado a arquivos que não puderam ser processados ​​pelo sistema de transferência de arquivos seguro de terceiros." O porta-voz afirmou que o governo da cidade está investigando ativamente os detalhes dos arquivos identificados.

"A cidade de Toronto está comprometida em proteger a privacidade e a segurança dos residentes de Toronto cujas informações estão sob sua responsabilidade e controle e combate com sucesso ataques cibernéticos diariamente."

"A cidade ainda está nos estágios iniciais de determinar o impacto do acesso não autorizado aos dados da cidade. Se a investigação da cidade determinar que os dados dos residentes foram comprometidos, a cidade notificará e comunicará com qualquer indivíduo cujas informações possam ter sido comprometidas."

Toronto está entre as crescentes vítimas do Clop impactadas por instâncias vulneráveis ​​de um programa da Fortra (anteriormente HelpSystems) chamado GoAnywhere.

A falha, agora rastreada como CVE-2023-0669 , permite que os invasores obtenham a execução remota de código em instâncias não corrigidas do GoAnywhere MFT com seu console administrativo exposto ao acesso à Internet.

A Fortra havia informado anteriormente aos seus clientes que a vulnerabilidade havia sido explorada como um zero-day e instou os clientes a corrigirem seus sistemas.

Em fevereiro, o Clop contatou a BleepingComputer e afirmou ter invadido mais de 130 organizações e roubado seus dados ao longo de dez dias, explorando essa vulnerabilidade específica em servidores empresariais.

Desde então, a lista de vítimas continua a crescer diariamente.

Neste mês, a Hitachi Energy, a Saks Fifth Avenue, bem como a empresa de cibersegurança Rubrik, divulgaram o impacto do Clop resultante do mesmo zero-day.

As vítimas do Clop desta semana incluem também a Virgin Red do Reino Unido, o clube de recompensas do Virgin Group que permite que os clientes ganhem e gastem pontos em empresas da Virgin, como a Virgin Atlantic, e outras organizações parceiras.

Embora o Clop liste a vítima como "Virgin", um porta-voz disse à BleepingComputer que a violação afetou apenas a Virgin Red.

"Recentemente, fomos contatados por um grupo de ransomware, se autodenominando Cl0p, que obteve ilegalmente alguns arquivos da Virgin Red por meio de um ataque cibernético em nosso fornecedor, GoAnywhere", disse um porta-voz da Virgin à BleepingComputer.

"Os arquivos em questão não representam risco para clientes ou funcionários, pois não contêm dados pessoais".

Outra organização que confirmou o impacto do fornecedor de software de transferência de arquivos é o Pension Protection Fund (PPF) do Reino Unido, uma corporação pública estatutária que é responsável perante o Parlamento do Reino Unido através do Secretário de Estado do Departamento de Trabalho e Pensões.

No caso do PPF, o grupo de ransomware e extorsão conseguiu colocar as mãos em dados de funcionários.

"Infelizmente, alguns de nossos funcionários atuais e antigos foram afetados pela possível violação", anunciou a organização em um comunicado.

"Já informamos todos os afetados da situação e oferecemos nosso apoio e serviços de monitoramento adicionais para ajudá-los."

O PPF parou de usar o GoAnywhere desde então e continua a trabalhar em estreita colaboração com a Fortra, seus parceiros de segurança e as agências de aplicação da lei como parte das atividades investigatórias.

"Compreender quais dados podem ter sido comprometidos e entrar em contato com qualquer pessoa potencialmente afetada tem sido nossa principal prioridade. Podemos garantir aos nossos membros e pagadores de impostos atuais que nenhum de seus dados esteve envolvido na violação."

"Gostaríamos de salientar que nossos próprios sistemas não foram comprometidos e permanecemos vigilantes, trabalhando com os mais altos padrões e certificações de segurança da informação..."

As organizações que usam a solução de transferência de arquivos segura GoAnywhere vulnerável devem corrigir seus sistemas o mais rápido possível para se protegerem de tais ataques cibernéticos.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...