BBC, BA y Boots recibieron un ultimátum de la pandilla cibernética Clop

Aug 12, 2023

Una prolífica banda de delincuentes cibernéticos que se cree que tiene su sede en Rusia ha dado un ultimátum a las víctimas de un hackeo que ha afectado a organizaciones de todo el mundo.

El grupo Clop publicó un aviso en la web oscura advirtiendo a las empresas afectadas por el ataque de MOVEit que les envíen un correo electrónico antes del 14 de junio o se publicarán los datos robados.

Más de 100.000 empleados de la BBC, British Airways y Boots han sido informados de que es posible que se hayan tomado datos de la nómina.

Se insta a los empleadores a no pagar si los piratas informáticos exigen un rescate.

La investigación de seguridad cibernética sugirió anteriormente que Clop podría ser responsable del ataque que se anunció por primera vez la semana pasada.

Los delincuentes encontraron una manera de entrar en una pieza de software comercial popular llamada MOVEit y luego pudieron usar ese acceso para ingresar a las bases de datos de potencialmente cientos de otras compañías.

Los analistas de Microsoft dijeron el lunes que creían que Clop tenía la culpa, según las técnicas utilizadas en el ataque.

Ahora se ha confirmado en una larga publicación de blog escrita en inglés entrecortado.

La publicación, vista por la BBC, dice: "Este es un anuncio para educar a las empresas que usan el producto Progress MOVEit de que es probable que descarguemos una gran cantidad de sus datos como parte de un exploit excepcional".

La publicación continúa instando a las organizaciones de víctimas a enviar un correo electrónico a la pandilla para comenzar una negociación en el portal de la red oscura de la tripulación.

Esta es una táctica inusual, ya que normalmente los piratas informáticos envían solicitudes de rescate por correo electrónico a las organizaciones de víctimas, pero aquí están exigiendo que las víctimas se comuniquen. Esto podría deberse a que Clop en sí no puede mantenerse al día con la escala del hackeo que aún se está procesando en todo el mundo.

"Mi opinión es que tienen tantos datos que les resulta difícil estar al tanto de todo. Están apostando a que, si lo sabes, te contactarás con ellos", dice el director ejecutivo de SOS Intelligence, Amir Hadžipasić.

MOVEit es suministrado por Progress Software en los EE. UU. para que muchas empresas muevan archivos de forma segura en los sistemas de la empresa. El proveedor de servicios de nómina Zellis, con sede en el Reino Unido, fue uno de sus usuarios.

Zellis ha confirmado que, como resultado, se han robado datos de ocho organizaciones del Reino Unido, incluidos domicilios, números de seguros nacionales y, en algunos casos, datos bancarios. No todas las empresas han tenido los mismos datos expuestos.

Los clientes de Zellis que han sido violados incluyen:

El Gobierno de Nueva Escocia y la Universidad de Rochester también advierten al personal que es posible que se hayan robado datos a través de la vulnerabilidad MOVEit.

El consejo de los expertos es que las personas no entren en pánico y que las organizaciones lleven a cabo controles de seguridad emitidos por autoridades como la Autoridad de Infraestructura y Seguridad Cibernética de los EE. UU.

Clop afirma en su sitio de fugas que ha eliminado todos los datos de los servicios gubernamentales, municipales o policiales.

“No se preocupe, borramos sus datos, no necesita contactarnos. No tenemos ningún interés en exponer dicha información”, se lee.

Sin embargo, los investigadores dicen que no se puede confiar en los criminales.

"La afirmación de Clop de haber eliminado información relacionada con organizaciones del sector público debe tomarse con pinzas. Si la información tiene valor monetario o podría usarse para phishing, es poco probable que simplemente la hayan eliminado", dijo Brett Callow, amenaza. investigador de Emsisoft.

Los expertos en seguridad cibernética han rastreado durante mucho tiempo las hazañas de Clop, que se cree que tiene su sede en Rusia, ya que opera principalmente en foros de habla rusa.

Rusia ha sido acusada durante mucho tiempo de ser un refugio seguro para las bandas de ransomware, lo cual niega.

Sin embargo, Clop se ejecuta como un grupo de "ransomware como servicio", lo que significa que los piratas informáticos pueden alquilar sus herramientas para llevar a cabo ataques desde cualquier lugar.

En 2021, presuntos piratas informáticos de Clop fueron arrestados en Ucrania en una operación conjunta entre Ucrania, EE. UU. y Corea del Sur.

En ese momento, las autoridades afirmaron haber eliminado al grupo que, según dijeron, era responsable de extorsionar $ 500 millones a las víctimas en todo el mundo.

Pero Clop ha seguido siendo una amenaza persistente.

BBC, BA y Boots entre las víctimas del hack masivo de nómina

¿Qué acción pueden tomar aquellos atrapados en hacks masivos?