Clop Ransomware Gang aprovecha vulnerabilidad de MOVEit Transfer

clop ransomware gang

El grupo de ransomware Clop se aprovechó de la vulnerabilidad crítica en el software de transferencia de archivos MOVEit Transfer para infectar a sus víctimas con su malware cifrador.

Según un informe de la empresa de ciberseguridad Proofpoint, el grupo ha lanzado una campaña de phishing dirigida a organizaciones de varios sectores, incluyendo la educación, la salud y el gobierno.

El ransomware Clop es una variante del conocido ransomware CryptoMix, que se caracteriza por cifrar los archivos de las víctimas y añadirles la extensión “.Clop”. El grupo exige un rescate en criptomonedas para proporcionar la clave de descifrado y amenaza con publicar los datos robados en su sitio web si no se paga.

Clop Ransomware Gang: una de las bandas de ransomware más activas

El grupo Clop es considerado una de las bandas de ransomware más activas y peligrosas del momento, ya que ha atacado a grandes empresas como Acer, Bombardier, ExecuPharm y Flagstar Bank. Además, el grupo ha demostrado tener capacidades para deshabilitar las soluciones de seguridad de Windows y para robar credenciales e información sensible.

La vulnerabilidad que ha explotado el grupo Clop se encuentra en el software MOVEit Transfer, una solución de transferencia segura de archivos desarrollada por la empresa Progress.

La vulnerabilidad, identificada como CVE-2021-3580, permite a un atacante remoto ejecutar código arbitrario en el servidor afectado. La vulnerabilidad fue descubierta por la empresa Qualys y reportada a Progress en marzo de 2021. Progress emitió un parche para corregir el problema en abril de 2021, pero muchos usuarios no lo han aplicado todavía.

Según Proofpoint, el grupo Clop ha enviado correos electrónicos de phishing con archivos adjuntos maliciosos que contienen un script PowerShell. El script se encarga de descargar y ejecutar el ransomware Clop en el sistema de la víctima. El grupo ha utilizado diferentes asuntos y remitentes falsos para engañar a los destinatarios, como “Factura”, “Contrato” o “Solicitud”.

Vulnerabilidad de MOVEit Transfer: detalles técnicos

  • Para protegerse de esta amenaza, se recomienda a los usuarios de MOVEit Transfer que actualicen su software a la última versión disponible y que revisen sus registros para detectar posibles signos de intrusión.
  • Asimismo, se aconseja a los usuarios que sean cautelosos con los correos electrónicos sospechosos y que no abran archivos adjuntos ni enlaces sin verificar su origen y autenticidad.
  • Por último, se sugiere realizar copias de seguridad periódicas de los datos importantes y almacenarlas en un lugar seguro y desconectado de la red.

Para más detalles de esta vulnerabilidad de MOVEit Transfer: Descifrando la vulnerabilidad en MOVEit Transfer.

La vulnerabilidad fue descubierta y explotada por primera vez por Clop a finales de mayo de 2023, y afectó a cientos de empresas que utilizaban MOVEit Transfer para enviar y recibir documentos sensibles, como información personal, financiera o de salud. Algunas de las víctimas más grandes fueron Maximus, una empresa contratista del gobierno de EE.UU., que sufrió una filtración de los datos de salud protegidos de hasta 11 millones de personas, y Pôle emploi, la agencia francesa de desempleo, que vio comprometidos los datos personales de hasta 10 millones de personas.

Clop utilizó una web shell llamada LEMURLOOT para acceder a los servidores infectados y extraer los datos, que luego amenazó con publicar en su sitio web si no recibía un rescate por parte de las víctimas. También utilizó técnicas de cifrado y borrado para impedir la recuperación de los datos y causar más daños a las empresas afectadas.

La vulnerabilidad fue parcheada por Progress Software el 7 de junio de 2023, pero muchas empresas no aplicaron la actualización a tiempo o no se dieron cuenta de que habían sido atacadas hasta que recibieron la notificación de Clop.

En consecuencia, se recomienda a las organizaciones que utilicen MOVEit Transfer que revisen sus sistemas en busca de signos de intrusión, que apliquen las medidas de mitigación recomendadas por el FBI y la CISA, y que denuncien cualquier incidente relacionado con Clop a las autoridades competentes.

Facebook: Eagle Tech Corp

Instagram: @eagletech_corp

Twitter: @eagletechcorp

LinkedIn: Eagle Tech

YouTube: Eagle Tech Corp

Tabla de Contenido

Comparte este artículo en

Facebook
Twitter
Pinterest
LinkedIn

Los más leídos

Al Día

Articulos Relacionados

ciberseguridad profesores

Ciberseguridad para profesores

En la era digital actual, la seguridad se ha convertido en un tema crucial para todos, y ciberseguridad para profesores no es la excepción. Con