La vulnerabilidad de MOVEit Transfer siguió dejando muchos afectados, en la siguiente ocasión fue a cientos de estudiantes de la ciudad de Nueva York.
El Departamento de Educación de la Ciudad de Nueva York (NYC DOE, por sus siglas en inglés) explicó que los hackers robaron documentos que contenían información personal sensible de hasta 45.000 estudiantes de su servidor MOVEit Transfer.
Datos personales de estudiantes expuestos debido a la vulnerabilidad MOVEit
El NYC DOE utilizaba el software de transferencia de archivos administrada (MFT) MOVEit Transfer, para transferir de forma segura datos y documentos internamente y externamente a varios proveedores, incluyendo proveedores de servicios de educación especial.
Cuando MOVEit Transfer fue atacada por Clop, estos afectaron a “millones de empresas”, (según sus propias declaraciones compartidas el 5 de junio con BleepingComputer), incluyendo a los estudiantes de la ciudad de Nueva York. Fue a través de esa brecha de seguridad que aprovecharon y atacaron con un día cero, mientras la institución no instalaba el parche de seguridad correspondiente para el software.
Kroll también descubrió evidencia de que Clop había estado probando activamente exploits para el día cero de MOVEit, ahora parchado, desde 2021 e investigando métodos para extraer datos de servidores comprometidos desde al menos abril de 2022.
Por su parte, el Departamento de Educación de la ciudad de Nueva York (NYC DOE) anunció sobre el ataque, la primera en dar declaraciones fue la directora de operaciones del DOE, Emma Vadehra, en un comunicado emitido durante el fin de semana.
“También realizamos una investigación interna, que reveló que ciertos archivos del DOE se vieron afectados. La revisión de los archivos impactados está en curso, pero los resultados preliminares indican que aproximadamente 45.000 estudiantes, además del personal del DOE y los proveedores de servicios relacionados, se vieron afectados.
Se accedió sin autorización a unos 19.000 documentos. Los tipos de datos afectados incluyen números de Seguridad Social y números de identificación de empleados (no necesariamente para todas las personas afectadas; por ejemplo, se incluyeron unos 9.000 números de Seguridad Social).
El FBI está investigando la brecha más amplia que ha afectado a cientos de entidades; actualmente estamos cooperando tanto con el NYPD como con el FBI mientras investigan”.
Pasos a seguir para los afectados
Un zero day (día cero) es un tipo de vulnerabilidad informática que no ha sido descubierta o reportada por los desarrolladores o los usuarios del sistema afectado. Esto significa que los atacantes pueden aprovecharse de ella para comprometer la seguridad y la integridad de los datos o las funciones del sistema.
Cuando el sistema es atacado con un día cero, es importante seguir una serie de pasos para contener el daño y restaurar el funcionamiento normal. Estos pasos son:
- Detectar el ataque: el primer paso es identificar que el sistema ha sido atacado con un día cero, lo cual puede ser difícil, debido a que no hay indicios previos de la vulnerabilidad. Para ello, se pueden usar herramientas de monitorización, análisis forense o auditoría que permitan detectar anomalías en el comportamiento del sistema, como cambios en los archivos, procesos sospechosos, conexiones externas no autorizadas o actividad inusual en la red.
- Aislar el sistema: el segundo paso es aislar el sistema afectado del resto de la red o de internet para evitar que el ataque se propague a otros sistemas o que el atacante acceda a más información o recursos. Para ello, se puede desconectar físicamente el sistema, deshabilitar las interfaces de red, bloquear los puertos o aplicar reglas de firewall que restrinjan el tráfico entrante y saliente.
- Analizar el ataque: el tercer paso es analizar el ataque para determinar la naturaleza y el alcance de la vulnerabilidad, así como las acciones y los objetivos del atacante. Para ello, se puede examinar los archivos modificados, los registros del sistema, las huellas digitales del malware, las comunicaciones con el servidor de control o los datos exfiltrados. Esto permitirá identificar el vector de ataque, el tipo de malware, el nivel de acceso obtenido y el impacto en el sistema.
- Mitigar el ataque: el cuarto paso es mitigar el ataque para reducir o eliminar sus efectos negativos sobre el sistema. Para ello, se puede eliminar o desactivar el malware, restaurar los archivos dañados o borrados, cambiar las contraseñas o claves comprometidas, revocar los certificados o tokens afectados o aplicar medidas de cifrado o autenticación adicionales.
- Reportar el ataque: el quinto paso es reportar el ataque a las autoridades competentes y a los desarrolladores o proveedores del sistema afectado, para informar sobre la vulnerabilidad y solicitar su solución. Para ello, se puede contactar con los organismos de seguridad informática, los centros de respuesta a incidentes o las organizaciones de coordinación que puedan ofrecer asesoramiento, apoyo o recursos para resolver el problema.
- Prevenir el ataque: el sexto paso es prevenir el ataque para evitar que se repita en el futuro o que afecte a otros sistemas similares. Para ello, se puede actualizar o parchear el sistema con la versión más reciente y segura, revisar y reforzar las políticas y las prácticas de seguridad, capacitar y concienciar al personal sobre los riesgos y las medidas de protección o realizar pruebas periódicas de vulnerabilidad y penetración.
Los ataques del día cero son delicados porque pasan desapercibidos hasta que los daños pueden ser irremediables; algo parecido a lo que sucedió con los estudiantes de la ciudad de Nueva York.
Cuando se trata de organizaciones con grandes cantidades de datos sensibles, lo mejor es poseer un equipo de ciberseguridad para evitar tantos riesgos.
Facebook: Eagle Tech Corp
Instagram: @eagletech_corp
Twitter: @eagletechcorp
LinkedIn: Eagle Tech
YouTube: Eagle Tech Corp
