Datos de hasta 100 000 miembros del personal de atención médica de Nueva Escocia robados en una violación de MOVEit

Los datos de al menos 100.000 empleados en el sector de la salud de Nueva Escocia fueron robados como resultado de la vulnerabilidad en la aplicación de transferencia de archivos MOVEit de Progress Software, dijo la provincia el martes.

Los datos robados incluyen números de seguro social, direcciones e información bancaria de empleados de Nova Scotia Health, el servicio público y el Centro de Salud IWK, que es un importante hospital pediátrico y centro de trauma.

Las provincias utilizan MOVEit para transferir información de nómina. Ha comenzado a notificar a las víctimas.

La banda de ransomware Clop/Cl0p le dijo a BleepingComputer que está detrás de los ataques de robo de datos de MOVEit Transfer. Para los equipos de seguridad de la información que ejecutan el servicio Defender Threat Intelligence de Microsoft, Microsoft llama a este grupo Lace Tempest.

Según la BBC, otras víctimas incluyen a la BBC, British Airways, la cadena de farmacias británica Boots y la aerolínea irlandesa Aer Lingus.

La vulnerabilidad de día cero de inyección SQL fue anunciada por Progress Software el 31 de mayo. Los investigadores de Mandiant creen que la evidencia más temprana de explotación ocurrió el 27 de mayo, lo que resultó en el despliegue de shells web y el robo de datos. En algunos casos, dicen los investigadores, los datos fueron robados a los pocos minutos de la implementación de shells web.

La vulnerabilidad se conoce como CVE-2023-34362.

En los últimos dos años y medio, los piratas informáticos han aprovechado los agujeros en las aplicaciones de transferencia de archivos, incluidas GoAnywhere MFT, Apera Faspex de IBM y Accelion FTA.

Muchos investigadores dicen que los departamentos de TI que no instalaron el parche de inmediato o que estaban usando versiones no afectadas de la versión local o en la nube de MOVEit deberían asumir que sus sistemas se han visto comprometidos.

Los investigadores de Huntress Labs dijeron que, a partir del 1 de junio, un escaneo de la web utilizando el motor de búsqueda Shodan sugirió que había más de 2500 servidores disponibles públicamente en Internet abierto.

Los investigadores de Huntress crearon un exploit que le permitió recibir acceso de shell con Meterpreter, escalar a AUTHORITY\SYSTEM de Windows NT y detonar una carga útil de ransomware Cl0p. "Esto significa que cualquier adversario no autenticado podría desencadenar un exploit que implemente instantáneamente ransomware o realice cualquier otra acción maliciosa", concluyen los investigadores. "El código malicioso se ejecutaría bajo el usuario de la cuenta de servicio MOVEit moveitsvc, que se encuentra en el grupo de administradores locales. El atacante podría desactivar las protecciones antivirus o lograr cualquier otra ejecución de código arbitrario".

Los investigadores de CrowdStrike dicen que el webshell creado por un atacante utilizará una cuenta de usuario existente con nivel de permiso "30" o un nuevo nombre de usuario generado aleatoriamente para establecer una sesión persistente dentro de la aplicación MOVEit. Su blog tiene instrucciones sobre cómo los equipos de seguridad de la información pueden investigar un posible compromiso.

Los datos robados podrían usarse para ataques de ingeniería social o rescate, señaló Tim West, jefe de inteligencia de amenazas de WithSecure. Señaló que British Airways dijo que se robó la información de pago de sus empleados, pero las organizaciones deben esperar que la mayor parte de los datos se rescaten o se carguen en un sitio de fuga.

Nuestro experimentado equipo de periodistas y blogueros le ofrece interesantes entrevistas en profundidad, videos y contenido dirigido a profesionales de TI y ejecutivos de línea de negocios.