O grupo Clop de ransomware começou a extorquir empresas cujos dados foram roubados usando uma vulnerabilidade zero-day na solução segura de compartilhamento de arquivos Fortra GoAnywhere MFT.
Em fevereiro, os desenvolvedores da solução de transferência de arquivos GoAnywhere MFT alertaram os clientes de que uma vulnerabilidade de execução remota de código zero-day estava sendo explorada em consoles administrativos expostos.
O GoAnywhere é uma solução segura de transferência de arquivos da web que permite que as empresas transfiram arquivos criptografados com segurança com seus parceiros enquanto mantêm registros detalhados de auditoria de quem acessou os arquivos.
Embora nenhum detalhe tenha sido compartilhado publicamente sobre como a vulnerabilidade foi explorada, um exploit de prova de conceito foi logo lançado, seguido por um patch para a falha.
No dia seguinte ao lançamento do patch do GoAnywhere, o grupo de ransomware Clop entrou em contato com o BleepingComputer e disse que era responsável pelos ataques.
O grupo de extorsão disse que usou a falha por mais de dez dias para roubar dados de 130 empresas.
Desde então, duas empresas, Community Health Systems (CHS) e Hatch Bank, divulgaram que dados foram roubados nos ataques do GoAnywhere MFT.
Na noite passada, o grupo de ransomware Clop começou a explorar publicamente as vítimas dos ataques do GoAnywhere adicionando sete novas empresas ao seu site de vazamento de dados.
Apenas uma das vítimas, Hatch Bank, é conhecida publicamente por ter sido invadida usando a vulnerabilidade.
No entanto, o BleepingComputer descobriu que pelo menos outras duas empresas listadas tiveram seus dados roubados usando essa falha também.
As entradas no site de vazamento de dados afirmam todas que a divulgação de dados está "chegando em breve", mas incluem capturas de tela de dados supostamente roubados.
Além disso, o BleepingComputer foi informado de que as vítimas começaram a receber demandas de resgate do grupo de ransomware.
Embora não esteja claro quanto os atores da ameaça estão exigindo, eles haviam exigido anteriormente US $ 10 milhões em resgates em ataques semelhantes usando uma vulnerabilidade zero-day do Accellion FTA em dezembro de 2020.
Durante esses ataques, o grupo de extorsão roubou grandes quantidades de dados de quase 100 empresas em todo o mundo, com os atores da ameaça vazando lentamente dados das empresas enquanto exigiam resgates de milhões de dólares.
As organizações que tiveram seus servidores Accellion hackeados incluem, entre outras, a gigante de energia Shell, a empresa de cibersegurança Qualys, a gigante de supermercados Kroger e várias universidades em todo o mundo, como Stanford Medicine, University of Colorado, University of Miami, University of California e University of Maryland Baltimore (UMB).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...