Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software de transferencia de archivos, exponiendo una gran cantidad de datos de empleados de empresas destacadas de todo el mundo. No hay clientes impactados, solo usuarios internos.
La vulnerabilidad, conocida como CVE-2023–34362, ha provocado una de las filtraciones de información corporativa más importantes de este año, afectando a varios sectores, incluidos finanzas, atención médica, tecnología y comercio minorista.
La vulnerabilidad MOVEit, descubierta a mediados de 2023, expuso una falla crítica en el software de transferencia de archivos ampliamente utilizado, lo que permitió a los atacantes eludir la autenticación y acceder a datos confidenciales. Este exploit se convirtió rápidamente en un arma, lo que dio lugar a numerosas infracciones de alto perfil en todas las industrias cuando los atacantes extrajeron información confidencial de empleados y clientes de los sistemas vulnerables.
Nam3L3ss, publicó estos archivos en un destacado foro sobre delitos cibernéticos, y cada hilo muestra un tesoro de información confidencial en formato CSV. En su publicación, Nam3L3ss advirtió a empresas e individuos que "presten atención" a la magnitud de estas filtraciones, destacando los tipos de detalles accesibles, incluidos códigos de centros de costos y, en algunos casos, estructuras organizativas internas.
Los datos robados, que se remontan a mayo de 2023, incluyen directorios de empleados de 25 organizaciones importantes. Los directorios contienen información detallada de los empleados, incluidos nombres, direcciones de correo electrónico, números de teléfono, códigos de centros de costos y, en algunos casos, estructuras organizativas completas. Estos datos podrían servir como una mina de oro para los ciberdelincuentes que buscan participar en ataques de phishing, robo de identidad o incluso de ingeniería social a gran escala.
Los datos filtrados, organizados por empresa y fechados en mayo de 2023, incluyen registros detallados de empleados de algunas de las empresas más grandes del mundo, muchas de ellas con una presencia global sustancial. Esta violación enfatiza el impacto de gran alcance de la vulnerabilidad de MOVEit y los riesgos que implica cuando los parches de seguridad no se aplican rápidamente.
Como parte de la reciente vulnerabilidad de MOVEit, quedaron expuestos grandes conjuntos de datos de empresas como Amazon y HSBC, lo que proporcionó información sobre la estructura y los detalles de los datos comprometidos. El conjunto de datos de Amazon, por ejemplo, contiene registros de empleados que incluyen campos como apellido, nombre, nombre para mostrar, código de centro de costos, nombre del centro de costos, teléfono, correo electrónico y título.
Los investigadores de Hudson Rock pudieron verificar la autenticidad de los datos cruzando los correos electrónicos de las filtraciones con los perfiles de los empleados en Linkedin y con los correos electrónicos encontrados en infecciones de Infostealer en las que estaban involucrados empleados de las empresas afectadas.
A continuación se muestra un desglose de la filtración por empresa:
- Amazon — 2,861,111 records
- MetLife — 585,130 records
- Cardinal Health — 407,437 records
- HSBC — 280,693 records
- Fidelity (fmr.com) — 124,464 records
- U.S. Bank — 114,076 records
- HP — 104,119 records
- Canada Post — 69,860 records
- Delta Airlines — 57,317 records
- Applied Materials (AMAT) — 53,170 records
- Leidos — 52,610 records
- Charles Schwab — 49,356 records
- 3M — 48,630 records
- Lenovo — 45,522 records
- Bristol Myers Squibb — 37,497 records
- Omnicom Group — 37,320 records
- TIAA — 23,857 records
- Union Bank of Switzerland (UBS) — 20,462 records
- Westinghouse — 18,193 records
- Urban Outfitters (URBN) — 17,553 records
- Rush University — 15,853 records
- British Telecom (BT) — 15,347 records
- Firmenich — 13,248 records
- City National Bank (CNB) — 9,358 records
- McDonald’s — 3,295 records
Estos datos estructurados revelan no solo información de contacto sino también detalles confidenciales sobre roles organizacionales y asignaciones de departamentos, lo que potencialmente abre puertas a la ingeniería social y otras amenazas a la seguridad.
Riesgos y consecuencias potenciales
Esta violación tiene graves implicaciones, no sólo para las empresas involucradas sino también para los empleados individuales cuyos datos se han visto comprometidos. La profundidad y granularidad de la información brindan amplias oportunidades para que los ciberdelincuentes realicen ataques altamente dirigidos. Los riesgos clave incluyen:
- Ataques de phishing e ingeniería social: con detalles de contacto, nombres y estructuras organizativas disponibles, los ciberdelincuentes pueden personalizar los correos electrónicos de phishing para que parezcan más legítimos y eludan los controles de seguridad.
- Espionaje corporativo: el acceso a estructuras jerárquicas y detalles de los empleados ofrece oportunidades para el espionaje corporativo, brindando a los competidores o entidades maliciosas información sobre las operaciones internas.
- Daño reputacional: Empresas de alto perfil como Amazon, HSBC y MetLife son particularmente vulnerables al impacto reputacional de tales violaciones, a medida que los clientes se preocupan cada vez más por la seguridad de los datos.
- Robo y fraude financiero: los datos del sector financiero, como los de Cardinal Health y UBS, son particularmente atractivos para el robo y el fraude. Tener registros de empleados y canales de comunicación puede ayudar en esquemas de fraude más sofisticados dirigidos a estas organizaciones.
Pasos de mitigación y mejores prácticas de seguridad
Para las empresas que utilizan MOVEit o sistemas similares de transferencia de archivos, el incidente es una llamada de atención. A continuación se muestran algunas acciones clave para ayudar a protegerse contra infracciones similares:
- Aplique parches de seguridad inmediatamente: MOVEit ha lanzado parches para abordar CVE-2023–34362. Las organizaciones deben asegurarse de que estas actualizaciones se apliquen sin demora.
- Realizar una auditoría de seguridad integral: las empresas afectadas por esta infracción o que utilizan MOVEit deben realizar una auditoría de seguridad, identificando cualquier vulnerabilidad potencial que pueda conducir a una mayor exposición.
- Concientización y capacitación de los empleados: los empleados suelen ser la primera línea de defensa contra los ataques de ingeniería social. Las empresas deberían reforzar la capacitación sobre el reconocimiento del phishing, el manejo seguro de datos y las prácticas de comunicación segura.
- Limitar el acceso e implementar la segmentación de datos: al restringir el acceso a los datos según los roles e implementar una segmentación de datos sólida, las organizaciones pueden reducir la cantidad de información confidencial a la que pueden acceder los piratas informáticos si logran ingresar a un sistema.
Fuente: Infostealers - Hudson Rock