La violación de datos de Accellion resultó en extorsión …



FireEye Mandiant dice que descubrió que los datos robados a través de una falla en Accellion FTA habían aterrizado en un sitio Dark Net asociado con un conocido grupo de amenazas con sede en Rusia.

Varias organizaciones que se vieron afectadas por la violación recientemente divulgada en la empresa de firewall empresarial Accellion sufrieron el robo de sus datos y posteriormente se utilizaron como palanca en intentos de extorsión.

Un nuevo análisis del incidente realizado por Mandiant encontró que los datos pertenecientes a múltiples compañías en los Estados Unidos, Canadá, los Países Bajos y Singapur hasta ahora se han publicado a través de un sitio de Darkish World-wide-web asociado con un conocido actor de amenazas con sede en Rusia llamado FIN11 que recientemente Se ha observado que opera una cepa de ransomware llamada CLOP. Las víctimas incluyen organizaciones en una amplia gama de sectores, dijo Mandiant.

Accellion el 12 de enero brevemente divulgado que los atacantes habían aprovechado una vulnerabilidad de día cero en su Dispositivo de transferencia de archivos (FTA), una tecnología de 20 años casi obsoleta que las organizaciones empresariales de todo el mundo han estado utilizando durante años para transferir archivos grandes. El proveedor dijo que se enteró de la violación a mediados de diciembre y emitió un parche en menos de 72 horas. Una subsecuente e igualmente breveactualizar el 1 de febrero, sugirió que los atacantes habían explotado no una, sino varias vulnerabilidades en FTA, todas las cuales la compañía dijo que había cerrado. Accellion instó a los clientes de FTA a cambiar a la tecnología más nueva de Kiteworks de la compañía lo antes posible.

La propia Accellion ha minimizado el alcance del incidente e inicialmente había descrito que la infracción afectaba a menos de 50 clientes en todo el mundo. Sin embargo, una lista en rápido crecimiento de divulgaciones de infracciones por parte de clientes de FTA en todo el mundo sugiere que el número serious de víctimas podría ser mayor.

El viernes, Kroger Co., el segundo minorista common más grande del mundo, se convirtió en la última víctima. Kroger Anunciado que un intruso desconocido había utilizado el servicio vulnerable de transferencia de archivos de Accellion para acceder a datos pertenecientes a un pequeño grupo de clientes. Entre los afectados se encontraban los clientes asociados con Kroger Overall health and Income Provider, dijo el minorista. Otros que han revelado infracciones relacionadas con el vulnerable TLC de Accellion incluyen un conocido bufete de abogados Día de Jones, el Estado de Washington, el Banco de la Reserva de Nueva Zelanday Telecomunicaciones de Singapur (Singtel). Las víctimas han denunciado el robo o la vulneración de datos de clientes, información crediticia y datos personales como fechas de nacimiento y direcciones de correo electrónico.

Actores de amenazas múltiples

Mandiant dijo un atacante desconocido que está rastreando mientras UNC2546 explotó cuatro vulnerabilidades de día cero en el dispositivo de transferencia de archivos (FTA) de Accellion en algún momento a mediados de diciembre de 2020. Las cuatro vulnerabilidades, todas las cuales ahora están parcheadas, son: CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, y CVE-2021-27104.

El adversario aprovechó las vulnerabilidades para instalar un shell website nunca antes visto llamado DEWMODE en la aplicación Accellion FTA y lo utilizó para extraer datos de las redes de las víctimas. La telemetría de Mandiant muestra que DEWMODE está diseñado para extraer una lista de archivos disponibles y metadatos asociados de una base de datos MySQL en el FTA de Accellion y luego descargar archivos de esa lista a través del shell net. Una vez que se completan las descargas, los atacantes ejecutan una rutina de limpieza para borrar los rastros de su actividad.

Mandiant no ha podido determinar la motivación principal del actor de amenazas UNC2546 para los ataques. Sin embargo, unas semanas después de que los datos fueran robados a través de DEWMODE, algunas víctimas informaron haber recibido correos electrónicos de extorsión de un adversario que afirmó estar asociado con la operación de ransomware CLOP. La campaña de extorsión apareció asociada con un grupo separado o grupo de actividades que Mandiant está rastreando actualmente como UNC2582.

El proveedor de seguridad dice que el patrón del atacante ha sido aumentar constantemente la presión sobre las organizaciones víctimas, desde el envío inicial de correos electrónicos a un pequeño grupo de personas desde una sola cuenta hasta bombardear a numerosos destinatarios en la organización víctima desde cientos de miles de direcciones de correo electrónico. Los datos publicados en el sitio CLOP Darkish World wide web operado por FIN11 muestran que el grupo de amenazas ha llevado a cabo su amenaza en al menos algunos casos.

Charles Carmakal, vicepresidente senior y director de tecnología de FireEye Mandiant, dice que la compañía ha identificado superposiciones entre las operaciones UNC2582, UNC2546 y FIN11 anteriores. «(Pero) no tenemos suficientes datos para rastrear estos grupos de actividad como un solo grupo de amenaza», dice.

Carmakal dice que FIN11 mantuvo un alto ritmo de actividad maliciosa durante 2019 y 2020, pero ha sido algo menor este año. «El grupo de amenazas llevó a cabo campañas de phishing generalizadas dirigidas a organizaciones en una amplia gama de sectores y regiones geográficas», dice. «Todavía no hemos observado ninguna campaña de phishing de FIN11 en 2021 sin embargo, no es inusual que el grupo de amenazas detenga estas operaciones durante uno o dos meses».

Mandiant no tiene datos suficientes en la actualidad para atribuir UNC2546 y UNC2582 a ningún país o región específicos, señala. Tampoco hay evidencia que vincule el ataque a Accellion con el revelado por SolarWinds en diciembre pasado, donde el malware estaba oculto en actualizaciones legítimas del application de administración de pink de la compañía y se distribuía a miles de clientes en todo el mundo. «Atribuimos la actividad de intrusiones y campañas a diferentes actores de amenazas», dijo Carmakal.

Similar en algunos aspectos a SolarWinds

Aun así, la brecha en Accellion inevitablemente ha hecho algunas comparaciones con la brecha de SolarWinds. Ambos son ejemplos recientes de atacantes que impactan a un gran número de organizaciones al atacar su cadena de suministro de computer software. Tanto las tecnologías de SolarWinds como las de Accellion están ampliamente implementadas y los clientes consideran que ambas organizaciones son socios de confianza.

«Los ataques a la cadena de suministro facilitan el trabajo de los actores de amenazas», dice Ivan Righi, analista de inteligencia de amenazas cibernéticas de Digital Shadows. Al explotar una sola vulnerabilidad, un atacante puede obtener acceso a múltiples víctimas.

«Es muy valioso para los actores de amenazas centrarse en este tipo de ataques», dice. El aparente éxito de las infracciones de SolarWinds y Accellion podría impulsar una mayor selección de proveedores de software de terceros populares, dice.

Oliver Tavakoli, CTO de Vectra, dice que los ataques a las empresas a través de la aplicación FTA de Accellion son de naturaleza más comparable a los ataques a través de fallas en los servidores Pulse Secure VPN en 2020 que a los ataques relacionados con SolarWinds. Los servicios como el FTA de Accellion se implementan en la parte DMZ de las redes empresariales y siempre han sido objetivos populares para los atacantes. «El valor de los ataques a través de la DMZ es que generalmente no dependen de los usuarios de phishing y pasan días o semanas avanzando a través de la red desde la computadora portátil de un usuario closing hasta servicios de valor», dice.

La lección para las organizaciones de seguridad es prestar más atención a las amenazas a través de la cadena de suministro de software program, según los expertos en seguridad. Aunque estas amenazas pueden ser difíciles de detectar, especialmente cuando involucran computer software con acceso privilegiado y confiable en la pink, las organizaciones deben tomar medidas para minimizar su exposición.

Mike Wilkes, CISO de SecurityScorecard, dice que es posible que el uso de herramientas de seguridad de análisis estático (SAST) y herramientas de seguridad de análisis dinámico (DAST) pueda ayudar a las organizaciones a detectar la presencia de bibliotecas y códigos adicionales en software de socios de confianza. Otra buena medida es tener un monitoreo de salida para detectar la filtración de datos y la comunicación de comando y management.

«El hack de SolarWinds se mantuvo bajo durante dos semanas antes de realizar esas solicitudes de alcance a los servidores de comando y handle», dice. «Poder detectar y bloquear ese tráfico puede significar la diferencia entre ser víctima o estar protegido».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic