Onda de ataques MOVEit já atingiu mais de 100 grandes empresas em todo o mundo

Mais de 100 grandes empresas de todo o mundo, incluindo nomes como BBC, British Airways e Zellis, já foram vítimas de uma onda de ataques que se aproveita de brechas de segurança para invadir sistemas internos e roubar dados confidenciais. Os golpes começaram na última semana e chamaram a atenção dos governos do Reino Unido e Estados Unidos, entre outros, que colocaram em foco a vulnerabilidade no software de transferência de arquivos MOVEit.

• Vulnerabilidades antigas e não corrigidas são a maior ameaça a empresas
• Com tanto avanço na segurança, por que ciberataques continuam acontecendo?

A solução, da fornecedora Progress Software, é focado no gerenciamento de dados com adição de criptografia e ferramentas de análises e automação. Foi nele, também, que foi localizada a vulnerabilidade rastreada como CVE-2023-34362, já corrigida pelos desenvolvedores, mas que vem sendo utilizada em ataques contra infraestruturas vulneráveis de todo o mundo — pelo menos seis delas pertenceriam a grandes empresas do Brasil.

Por trás dos ataques estaria a quadrilha conhecida como Cl0p, mas que também atende por nomes como TA505, FIN11 e Lace Tempest, que definem a operação central ou seus afiliados. Os cibercriminosos são especializados em golpes de ransomware, mas no caso do MOVEit, utilizam a vulnerabilidade zero-day, daquelas que eram desconhecidas até mesmo para os desenvolvedores originais, para invadir servidores e roubar dados sigilosos das empresas atingidas.

As pancadas são doídas. A rede de mídia britânica BBC, por exemplo, informou a funcionários que documentos, endereços residenciais, números de identificação e datas de nascimento foram furtados pelos criminosos. Na British Airways, além de dados pessoais, informações financeiras de trabalhadores também foram comprometidas, enquanto a província canadense de Nova Scotia foi o primeiro alvo governamental a vir a público afirmando ter sofrido um ataque.

Enquanto isso, os cibercriminosos falam diretamente à imprensa, revelando que as informações roubadas serão compiladas em um site da dark web, com as companhias atingidas recebendo pedidos de resgate de valores não revelados para que o sigilo dos dados seja mantido. Caso contrário, eles serão publicados, em uma tática comum de extorsão similar à de ataques de ransomware, que ainda se prova muito eficaz e lucrativa.

“Os grupos se afastaram da criptografia de arquivos, comum em ataques de sequestro de dados, e se passaram a se concentrar apenas no roubo de informações”, explica Satnam Narang, engenheiro de pesquisa da empresa de cibersegurança Tenable. O especialista define o cenário atual como “emergente” e aponta a necessidade urgente de aplicação de atualizações para que as empresas se protejam.

Falha já foi corrigida, mas ataques continuam

Assim como aconteceu com outras vulnerabilidades graves dos últimos anos, como a Log4J, estamos falando de uma brecha de segurança cuja correção está disponível desde a última semana. Enquanto os cibercriminosos afirmam terem começado a onda ofensiva no dia 29 de maio, uma atualização foi divulgada para o MOVEIt em 1º de junho, mas ainda assim, a abertura segue gerando ataques pelo mundo.

A Agência de Cibersegurança e Infraestrutura do governo dos Estados Unidos (CISA, em inglês), ordenou que todas as agências do governo atualizem suas soluções MOVEIt dentro dos próximos 15 dias. Alertas semelhantes também foram dados por organizações do Reino Unido e União Europeia, enquanto os operadores do Cl0p provocam, afirmando que dados obtidos de administrações públicas, hospitais e ramos militares serão apagadas de seus sistemas.

A data escolhida pelos bandidos, aliás, não foi coincidência. Ela corresponde ao Memorial Day, um dos principais feriados nacionais dos Estados Unidos, no qual os cidadãos honram os soldados mortos nas guerras. É, também, um momento de menor número de especialistas ativos em departamentos de segurança digital, motivando, por si só, uma demora na resposta a incidentes.

Mais de uma semana depois, entretanto, os problemas persistem. De acordo com números do OpenCTI.BR, mais de dois mil servidores MOVEIt ainda estavam vulneráveis à exploração na manhã desta terça-feira (6). Como dito, seis deles estão localizados no Brasil, com direito a infraestruturas de grandes empresas nacionais, incluindo uma grande seguradora.

Apenas aplicar a correção, porém, não resolve o problema. “Como os ataques começaram antes de uma atualização estar disponível, as empresas devem verificar se há sinais de comprometimento além daqueles discutidos publicamente. O patch não removerá malwares e outros artefatos de violação, sendo crítica uma análise de comprometimento”, explica Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.

O CEO da Tenable, Amit Yoran, vai além, indicando que a onda de ataques envolvendo o MOVEIt deve servir como um sinal de alerta para que as empresas se comprometam a manter sistemas atualizados, mas também monitorados. Uma verificação desse tipo poderia ter evitado o pior, enquanto o uso de sistemas para entender a superfície de ataque teriam resultado em maior preparo para uma bomba vista como inevitável.

“Vulnerabilidades são divulgadas todos os dias, com os agentes de ameaça apenas esperando para ver se podem ser monetizadas. Em vez de esperar serem atacados para responder, é vital que as equipes de segurança adotem uma abordagem preventiva”, completa. Yoran engrossa o coro: estamos apenas no começo da onda, com mais organizações devendo vir a público nos próximos dias para revelar que foram atingidas.

Com informações do Bleeping Computer e inCyber.