Qualys es la última víctima de la violación de datos de Accellion



El proveedor de seguridad confirma que los atacantes aprovecharon una vulnerabilidad previamente revelada en la tecnología de firewall empresarial para violar su purple.

Qualys se ha convertido en la última víctima conocida de una violación de datos en el proveedor de firewall empresarial Accellion que ha afectado a numerosas empresas, entre ellas, el gigante minorista Kroger, el bufete de abogados Jones Working day y el estado de Washington.

En un comunicado el miércoles por la noche, Qualys confirmó los rumores que habían estado circulando todo el día sobre la violación de la purple de la compañía. Pero proporcionó pocos detalles sobre la naturaleza del incidente o si se había convertido en víctima de la cepa de ransomware Clop, como informaron numerosas personas a través de Twitter el miércoles.

La declaración de Qualys y una publicación de blog, atribuida al CISO Ben Carr, simplemente señalaron que la compañía se había convertido en víctima de un incidente de seguridad no especificado que involucraba una vulnerabilidad previamente revelada en el Dispositivo de transferencia de archivos (FTA) de Accellion. Un informe de la Comisión de Bolsa y Valores sobre el incidente que presentó Qualys el jueves describió el incidente como una «violación de datos», pero por lo demás proporcionó los mismos detalles que en el comunicado de prensa y la publicación del web site.

Qualys dijo que había estado utilizando el FTA de Accellion para transferir archivos encriptados asociados con su sistema de atención al cliente que se habían cargado manualmente en sus sistemas. La compañía afirmó que había implementado el servidor Accellion en un entorno DMZ completamente segregado en su crimson que estaba separado de los sistemas que alojaban y respaldaban el núcleo Qualys Cloud Platform de la compañía.

«Qualys ha confirmado que no hay ningún impacto en los entornos de producción de Qualys, la foundation de código o los datos de los clientes alojados en Qualys Cloud Platform», escribió Carr en su entrada en el web site. «Todas las plataformas de Qualys continúan siendo completamente funcionales y en ningún momento hubo ningún impacto operativo».

Sin embargo, la declaración y la publicación de Carr no mencionaron si los atacantes habían explotado el servidor susceptible Accellion FTA para instalar ransomware en la purple de la empresa o si habían filtrado datos de clientes relacionados con facturas, órdenes de compra y documentos fiscales. Observó que el «número limitado» de clientes afectados por la infracción había sido notificado de inmediato sobre el problema.

El miércoles surgieron varios tweets de personas que afirmaban haber visto archivos que parecían pertenecer a Qualys publicados en línea por los operadores de una cepa de ransomware conocida como Clop. Algunos incluso sugirieron que se habían filtrado en línea datos pertenecientes a miles de clientes. La firma de evaluación de riesgos de terceros, Black Kite, describió el miércoles a uno de sus investigadores que rastreaba nuevas publicaciones en el sitio web de Clop que mostraban que la banda de ransomware estaba persiguiendo a Qualys. Según Bob Maley, el director de seguridad de la compañía, la actividad que Black Kite pudo observar sugirió que Qualys fue víctima de una violación de terceros relacionada con Accellion.

Qualys no respondió de inmediato a una solicitud de Darkish Looking through en busca de claridad sobre si la compañía había sido efectivamente afectada por ransomware o si los datos de los clientes se habían filtrado en línea.

Accellion, en dos lanzamientos separados, el primero en 12 de enero y el segundo en 1 de febrero, reveló que los atacantes habían explotado múltiples vulnerabilidades de día cero en su servidor FTA. El servidor Accellion FTA es una tecnología de 20 años, casi obsoleta, que muchas empresas continúan usando, sin embargo, para transferir archivos grandes. La tecnología generalmente se implementa en la DMZ de las redes empresariales.

Un Mandiant FireEye posterior investigación de la violación de Accellion mostró que los atacantes habían utilizado las vulnerabilidades para instalar lo que hasta ese momento había sido un shell world wide web previamente desconocido llamado DEWMODE en el servidor FTA. El malware permitió a los atacantes exfiltrar datos de las redes de organizaciones empresariales que utilizan la tecnología Accellion para transferir datos, informó FireEye Mandiant.

La investigación del proveedor de seguridad descubrió datos pertenecientes a varios clientes de Accellion FTA que luego aparecieron en un sitio world-wide-web de FIN11 FIN11 es un actor avanzado de amenazas persistentes asociado más recientemente con el funcionamiento de la cepa de ransomware Clop. FireEye Mandiant describió la información robada como utilizada como palanca en los intentos de extorsionar a las organizaciones víctimas. FireEye Mandiant dijo que su investigación mostró que el ataque inicial en sí fue realizado por un grupo previamente desconocido que está rastreando como UNC2546. Los intentos de extorsión, sin embargo, parecían ser obra de un grupo separado, previamente desconocido, que Mandiant está rastreando como UNC2582.

Hasta ahora, varias organizaciones, como Qualys, han revelado públicamente violaciones de datos relacionadas con las vulnerabilidades de Accellion FTA. Además de Kroger, Jones Working day y el estado de Washington, otras víctimas conocidas incluyen el Banco de la Reserva de Nueva Zelanda, Singapore Telecommunications (Singtel) y el gobierno de Nueva Gales del Sur en Australia.

La brecha en Accellion ha hecho algunas comparaciones con la que SolarWinds reveló en diciembre pasado. Ambos son los ejemplos más recientes de atacantes que se dirigen a un proveedor externo de confianza para instalar malware y robar datos de una gran cantidad de organizaciones empresariales. Los expertos en seguridad esperan que estos ataques se vuelvan cada vez más comunes porque brindan a los atacantes una forma de infligir un daño generalizado con un esfuerzo mínimo.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial