El grupo de ransomware Clop se aprovechó de la vulnerabilidad crítica en el software de transferencia de archivos MOVEit Transfer para infectar a sus víctimas con su malware cifrador.
Según un informe de la empresa de ciberseguridad Proofpoint, el grupo ha lanzado una campaña de phishing dirigida a organizaciones de varios sectores, incluyendo la educación, la salud y el gobierno.
El ransomware Clop es una variante del conocido ransomware CryptoMix, que se caracteriza por cifrar los archivos de las víctimas y añadirles la extensión «.Clop». El grupo exige un rescate en criptomonedas para proporcionar la clave de descifrado y amenaza con publicar los datos robados en su sitio web si no se paga.
Clop Ransomware Gang: una de las bandas de ransomware más activas
El grupo Clop es considerado una de las bandas de ransomware más activas y peligrosas del momento, ya que ha atacado a grandes empresas como Acer, Bombardier, ExecuPharm y Flagstar Bank. Además, el grupo ha demostrado tener capacidades para deshabilitar las soluciones de seguridad de Windows y para robar credenciales e información sensible.
La vulnerabilidad que ha explotado el grupo Clop se encuentra en el software MOVEit Transfer, una solución de transferencia segura de archivos desarrollada por la empresa Progress.
La vulnerabilidad, identificada como CVE-2021-3580, permite a un atacante remoto ejecutar código arbitrario en el servidor afectado. La vulnerabilidad fue descubierta por la empresa Qualys y reportada a Progress en marzo de 2021. Progress emitió un parche para corregir el problema en abril de 2021, pero muchos usuarios no lo han aplicado todavía.
Según Proofpoint, el grupo Clop ha enviado correos electrónicos de phishing con archivos adjuntos maliciosos que contienen un script PowerShell. El script se encarga de descargar y ejecutar el ransomware Clop en el sistema de la víctima. El grupo ha utilizado diferentes asuntos y remitentes falsos para engañar a los destinatarios, como «Factura», «Contrato» o «Solicitud».
Vulnerabilidad de MOVEit Transfer: detalles técnicos
- Para protegerse de esta amenaza, se recomienda a los usuarios de MOVEit Transfer que actualicen su software a la última versión disponible y que revisen sus registros para detectar posibles signos de intrusión.
- Asimismo, se aconseja a los usuarios que sean cautelosos con los correos electrónicos sospechosos y que no abran archivos adjuntos ni enlaces sin verificar su origen y autenticidad.
- Por último, se sugiere realizar copias de seguridad periódicas de los datos importantes y almacenarlas en un lugar seguro y desconectado de la red.
Para más detalles de esta vulnerabilidad de MOVEit Transfer: Descifrando la vulnerabilidad en MOVEit Transfer.
La vulnerabilidad fue descubierta y explotada por primera vez por Clop a finales de mayo de 2023, y afectó a cientos de empresas que utilizaban MOVEit Transfer para enviar y recibir documentos sensibles, como información personal, financiera o de salud. Algunas de las víctimas más grandes fueron Maximus, una empresa contratista del gobierno de EE.UU., que sufrió una filtración de los datos de salud protegidos de hasta 11 millones de personas, y Pôle emploi, la agencia francesa de desempleo, que vio comprometidos los datos personales de hasta 10 millones de personas.
Clop utilizó una web shell llamada LEMURLOOT para acceder a los servidores infectados y extraer los datos, que luego amenazó con publicar en su sitio web si no recibía un rescate por parte de las víctimas. También utilizó técnicas de cifrado y borrado para impedir la recuperación de los datos y causar más daños a las empresas afectadas.
La vulnerabilidad fue parcheada por Progress Software el 7 de junio de 2023, pero muchas empresas no aplicaron la actualización a tiempo o no se dieron cuenta de que habían sido atacadas hasta que recibieron la notificación de Clop.
En consecuencia, se recomienda a las organizaciones que utilicen MOVEit Transfer que revisen sus sistemas en busca de signos de intrusión, que apliquen las medidas de mitigación recomendadas por el FBI y la CISA, y que denuncien cualquier incidente relacionado con Clop a las autoridades competentes.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp