El pasado 23 de marzo de 2023, la ciudad de Toronto confirmó que había sufrido un robo de datos por parte del grupo de ransomware Cl0p. Este grupo se aprovechó de una vulnerabilidad en el programa GoAnywhere, una herramienta de transferencia de archivos segura que usaba la ciudad y otras organizaciones.
Datos confidenciales filtrados por vulnerabilidad de GoAnywhere
Según el grupo Cl0p, lograron acceder a más de 130 organizaciones en todo el mundo mediante esta vulnerabilidad, que les permitía ejecutar código remoto en los servidores expuestos a internet. Entre las víctimas, se encuentran empresas de energía, comercio, transporte y ciberseguridad.
Cabe destacar que GoAnywhere es un software de Transferencia Segura de Archivos (Managed File Transfer, MFT) que automatiza y protege las transferencias de archivos con sus socios de negocio, clientes y los servidores de las empresas.
GoAnywhere ofrece múltiples funcionalidades, como la transferencia automatizada de lotes de archivos, la encriptación de archivos, el uso compartido y la colaboración de archivos, la conectividad en la nube y la protección ante amenazas. Es compatible con múltiples plataformas, protocolos y estándares de encriptación.
La ciudad de Toronto dijo que el acceso no autorizado se limitó a los archivos que no se pudieron procesar a través del sistema de transferencia de archivos segura y que estaba investigando el impacto del incidente. Se determinó que en caso de que los datos de los residentes fueran comprometidos, la ciudad notificará a los afectados.
Otras víctimas incluyen Virgin Red y PPF
En febrero del 2023, Cl0p había atacado varias organizaciones y robado sus datos en el transcurso de diez días, explotando esta vulnerabilidad particular en los servidores empresariales. Desde entonces, la lista de víctimas continuó creciendo. Entre los afectados, estuvieron Hitachi Energy, Saks Fifth Avenue y la empresa de ciberseguridad Rubrik, las cuales revelaron que también recibieron el impacto del día cero.
No obstante, BleepingComputer se encargó de compartir: «Recientemente fuimos contactados por un grupo de ransomware, que se hace llamar Cl0p, que obtuvo ilegalmente algunos archivos de Virgin Red a través de un ciberataque a nuestro proveedor, GoAnywhere (…) Los archivos en cuestión no suponen ningún riesgo para los clientes o empleados, ya que no contienen datos personales».
Otra organización que confirmó el impacto del proveedor de software de transferencia de archivos fue el Fondo de Protección de Pensiones (PPF) del Reino Unido, una corporación pública estatutaria que rinde cuentas al Parlamento del Reino Unido a través del Secretario de Estado del Departamento de Trabajo y Pensiones.
En el caso del PPF, el grupo de ransomware y extorsión consiguió hacerse con datos de los empleados, a lo que ellos mismos compartieron en un comunicado:
Lamentablemente, algunos de nuestros empleados actuales y anteriores se han visto afectados por la posible violación (…) Ya hemos informado a todos los afectados de la situación y les hemos ofrecido nuestro apoyo y servicios adicionales de monitorización para ayudarles.
El PPF ha dejado de utilizar GoAnywhere desde entonces y continúa trabajando estrechamente con Fortra, sus socios de seguridad y las agencias policiales como parte de las actividades de investigación. Sin embargo, se responsabilizan totalmente:
Entender qué datos pueden haber sido comprometidos y contactar con cualquier persona potencialmente afectada ha sido nuestra máxima prioridad. Podemos asegurar a nuestros actuales miembros y pagadores de cuotas que ninguno de sus datos ha estado involucrado en la violación.
(…) Queremos enfatizar que nuestros propios sistemas no han sido comprometidos y seguimos trabajando con los más altos estándares y certificaciones de seguridad de la información.
El ataque de Cl0p a la ciudad de Toronto es uno de los más recientes ejemplos de cómo los grupos de ransomware pueden explotar las vulnerabilidades conocidas para infiltrarse en las redes de sus objetivos y extorsionarlos con el cifrado o la filtración de sus datos.
Estos ataques representan una amenaza seria para la seguridad y la privacidad de las organizaciones y las personas, por lo que se recomienda mantener los sistemas actualizados y protegidos con medidas de seguridad adecuadas.
Proteja sus sistemas con Eagle Tech Corp, ¡síganos y contáctenos para solicitar detalles!
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp