La infracción de MOVEit es uno de los mayores ataques de ransomware de 2023 y ha afectado a millones de personas en todo el mundo.

Conclusiones clave

  • La vulneración de MOVEit, llevada a cabo por el grupo de ransomware Clop, es uno de los mayores ataques de 2023 y afectó a 2.659 organizaciones y 67 millones de personas.
  • La infracción aprovechó las vulnerabilidades de día cero en la aplicación MOVEit, dando a los atacantes acceso a datos confidenciales almacenados por las organizaciones que utilizan el software.
  • El sector educativo se vio muy afectado por la infracción, y universidades como John Hopkins y Webster University se encuentran entre los objetivos. Otros sectores afectados incluyen la salud, las finanzas y los negocios.

¿Es usted uno de los 62 millones de personas afectadas por la infracción de MOVEit? La violación de MOVEit es uno de los mayores ataques de 2023, en el que el grupo de ransomware Clop rescató a miles de organizaciones y se llevó decenas de millones de dólares.

Entonces, ¿qué es el ataque de ransomware MOVEit y cómo ha afectado a tanta gente?

instagram viewer

¿Qué es MOVEIt?

MOVEit es un software y servicio de transferencia segura de archivos desarrollado por Progress Software, diseñado para facilitar la transferencia segura de datos confidenciales entre organizaciones e individuos. MOVEit es utilizado por empresas, organizaciones gubernamentales, universidades y básicamente cualquier entidad que almacena y gestiona sus datos, lo que permite a las empresas transferir archivos y datos de forma segura para protegerlos de acceso no autorizado o infracciones.

Sin embargo, en mayo de 2023, esto dejó de ser así cuando el grupo de ransomware Clop pirateó los datos de miles de organizaciones que utilizaban MOVEIt para sus datos.

¿Cómo ocurrió la infracción de MOVEit?

En mayo de 2023, el infame grupo de ransomware Clop aprovechó múltiples vulnerabilidades de día cero en la aplicación MOVEIt.

Una vulnerabilidad de día cero es una falla de seguridad de software desconocida para el proveedor o el público y explotada por atacantes antes de que esté disponible una solución o parche. Las vulnerabilidades de día cero son particularmente peligrosas porque podrían explotarse sigilosamente sin el conocimiento del proveedor durante mucho tiempo.

Progress Software finalmente solucionó estas vulnerabilidades, pero ya era demasiado tarde. Durante el período en que la vulnerabilidad era desconocida para el público y los proveedores, los atacantes accedieron y violaron los datos de miles de organizaciones que utilizaron MOVEit para administrar y transferir sus datos.

Crédito de la imagen: rawpixel.com/Freepik

El grupo de ransomware Clop descubrió múltiples vulnerabilidades de inyección SQL en la aplicación MOVEit, lo que les permitió acceder a la base de datos de las organizaciones y descargar y ver datos. La inyección SQL es una vulnerabilidad donde se inserta código SQL malicioso en los campos de entrada, explotando vulnerabilidades en una aplicación respaldada por una base de datos. El código no autorizado puede manipular la base de datos, exponiendo o alterando potencialmente información confidencial.

Las vulnerabilidades de inyección SQL están registradas como CVE-2023-34362, CVE-2023-35036 y CVE-2023-35708, y fueron parcheadas el 31 de mayo de 2023, el 9 de junio de 2023 y el 15 de junio de 2023, respectivamente. Todas las versiones de la aplicación de transferencia MOVEit eran vulnerables a estas vulnerabilidades. Cuando se explota, permite que un atacante no autenticado obtenga acceso al contenido de la base de datos de transferencia MOVEIt de la organización. Esto significa que el atacante puede descargar, alterar o incluso eliminar bases de datos sin ninguna restricción.

El impacto de la infracción de MOVEit

Según el análisis de Emisoft y estadísticas sobre la violación de datos de MOVEit, al 9 de noviembre de 2023, 2659 organizaciones se han visto afectadas por la violación de MOVeit, y más de 67 millones de personas se han visto afectadas con organizaciones con sede principalmente en Estados Unidos, Canadá, Alemania y el Reino Unido.

La educación es el sector más afectado, ya que estos atacantes desvían los datos de numerosas universidades. Las organizaciones educativas afectadas por esta infracción incluyen el sistema de escuelas públicas de la ciudad de Nueva York, John La Universidad Hopkins, la Universidad de Alaska y la Universidad Webster, entre otras universidades populares. universidades. Otros sectores muy afectados por esta violación incluyen el sector de la salud, los bancos, las instituciones financieras y las empresas.

Algunas de las organizaciones más conocidas afectadas por el ransomware MOVEit incluyen la BBC, Shell, Siemens Energy, Ernst &Young y British Airways.

El 25 de septiembre de 202, líder del servicio de registro prenatal, neonatal e infantil,NACIDO Ontario, emitió una declaración sobre la infracción de MOVEit revelando que fueron afectados por la infracción de MOVEit. Según su informe, la vulnerabilidad MOVEit permitió a terceros maliciosos no autorizados acceder y copiar archivos de información de salud personal contenida en los registros de BORN Ontario, que se habían transferido mediante el software de transferencia segura de archivos.

En respuesta, Born Ontario aisló inmediatamente el sistema, desmanteló el servidor afectado y lanzó una investigación, asociándose con expertos en ciberseguridad para determinar la gravedad y qué datos específicos fueron robado.

Muchas de estas organizaciones fueron pirateadas no porque usaran la aplicación MOVEit sino porque proveedores externos patrocinados que hicieron uso de la aplicación de transferencia MOVEit, lo que les llevó a obtener violado también. Es una situación similar para otras organizaciones, que cuesta miles de millones de dólares en pagos de ransomware y otras correcciones de seguridad.

Ha sido afectado por la infracción de MOVEit. ¿Qué sigue?

Si todavía estás usando MOVEit, parchealo inmediatamente a la última versión para evitar que estos piratas informáticos roben tus archivos y datos. Desafortunadamente, Internet y el software que lo utiliza son propensos a ataques y ransomware, y usted debe mantenerse y sus activos estén protegidos cambiando las contraseñas periódicamente, utilizando software antivirus y habilitando la función multifactor. autenticación.

Aún así, como muestra la violación de MOVEit, puedes hacer todo eso y un equipo de hackers encontrará un exploit nunca antes visto.