Taula de continguts
L'explotació de la vulnerabilitat del programari de transferència MOVEit exposa dades sensibles de les empreses del Regne Unit i posa en perill la seguretat dels empleats
Diverses empreses destacades del Regne Unit, com la BBC, British Airways, Boots i Aer Lingus, han estat víctimes d'un important incident cibernètic. L'incompliment ha exposat la informació personal dels empleats, incloses dades sensibles com ara dades bancàries i de contacte, a pirates informàtics maliciosos. Aquesta violació de la ciberseguretat s'ha atribuït a un grup de ransomware conegut com Clop, que es va dirigir específicament a les vulnerabilitats del programari de transferència de fitxers MOVEit. L'incident ha suscitat preocupacions sobre la seguretat de les dades de l'empresa i l'impacte potencial sobre els empleats afectats.
En una declaració atrevida enviada per correu electrònic a Reuters, els pirates informàtics van reivindicar amb orgull la responsabilitat de l'atac i van emetre una esgarrifosa advertència que aquells que gosessin desafiar les seves demandes de rescat s'enfrontarien a l'exposició pública al lloc web del seu grup. Investigacions prèvies de Microsoft ja havien apuntat amb el dit a una banda de ransomware de parla russa, deixant entreveure la seva implicació en l'incident. La impactant revelació es va produir la setmana passada quan els experts en ciberseguretat van donar a conèixer l'explotació d'una vulnerabilitat de dia zero, un defecte perillós, dins del sistema de transferència de fitxers molt utilitzat conegut com MOVEit, desenvolupat per Progress Software. Aquesta vulnerabilitat va ser la porta d'entrada per als ciberdelinqüents per infiltrar-se i extreure informació sensible de nombroses empreses globals que confien en MOVEit Transfer.
Innombrables organitzacions cauen víctimes de l'impacte generalitzat
La impactant revelació es va produir dilluns quan el proveïdor de nòmines amb seu al Regne Unit Zellis va confirmar que vuit dels seus clients havien estat víctimes de l'incident cibernètic. Tot i que no es van revelar els noms de les organitzacions afectades, British Airways (BA) va reconèixer la seva implicació en la situació angoixant. Amb una plantilla de 34.000 persones al Regne Unit, l'exposició de la companyia aèria a l'incompliment és profundament preocupant.
La BBC i Boots, conegudes pel seu ampli personal de 50.000 empleats, també es van trobar embolicats en el caos. Tot i que l'emissora va expressar el seu alleujament perquè les dades bancàries dels seus empleats es mantinguessin segures, la identificació de l'empresa i els números d'assegurança nacional es van veure compromesos. Aer Lingus, una filial de BA, va confirmar que l'incident va afectar tant els actuals com els antics membres del personal. No obstant això, cap informació financera o bancària ni números de telèfon es van veure compromesos en aquest esdeveniment alarmant.
La vulnerabilitat de dia zero al producte MOVEit Transfer de Progress Software ha afectat significativament a nombroses empreses a nivell mundial. Tanmateix, els responsables de l'empresa han subratllat que tot el programari propietat de Zellis no es veu afectat i no s'han informat incidents ni compromisos en relació amb cap altre aspecte de la seva infraestructura informàtica.
Aprofundint en els orígens de l'atac: un cúmul d'amenaces amb possibles enllaços russos
Les troballes recents de l'empresa de ciberseguretat Maidant aclareixen els orígens de l'atac, identificant-lo com un "clúster d'amenaces de nova creació" anomenat UNC4857. Aquest clúster inclou grups cibercriminals coneguts, com ara FIN11 , TA505 i Clop , que han establert connexions amb Rússia. No obstant això, el motiu de l'atac, ja sigui impulsat per objectius polítics o financers, segueix sent incert. Tot i que FIN11 ha funcionat anteriorment només com una organització criminal implicada en el rescat de dades, planteja la qüestió de si aquestes xarxes criminals familiars estan darrere de l'incident o si hi ha cibermercenaris amb motius ideològics.
Curiosament, l'abast de les víctimes afectades per l'atac MOVEit s'estén més enllà dels objectius esperats. El govern de Nova Escòcia, un objectiu poc probable per a un actor recolzat per l'estat, també ha estat víctima. Els informes indiquen que l'atac tenia el potencial de comprometre uns 2.500 servidors MOVEit, augmentant l'escala i l'impacte de la violació. Ipswitch, el desenvolupador de programari de gestió de TI, encara no ha revelat el nombre d'empreses que utilitzen el seu programari en el moment de l'incident abans d'implementar una solució.
Què espera per a les víctimes: implicacions i perspectives
A mesura que es desenvolupa la situació, les organitzacions de víctimes s'han de preparar per a possibles intents d'extorsió, l'exposició pública de dades robades i la possibilitat de ser avergonyides públicament per part de l'actor de l'amenaça. Probablement, els ciberdelinqüents començaran aviat el contacte amb les seves víctimes, fent demandes d'extorsió i dirigint-se sistemàticament a les persones de la seva llista. Per protegir-se de més danys, es recomana que totes les organitzacions, independentment de quan es va pegar el programari, realitzin una anàlisi forense exhaustiva dels seus sistemes si la interfície web de MOVEit estava exposada a Internet.
Presentació de la violació de la ciberseguretat: BA, BBC i Boots Exposen contacte i dades bancàries captures de pantalla
