Análisis de un ciberataque masivo: El caso Clop y la vulnerabilidad de MOVEit

Una prolífica banda de delincuentes cibernéticos, probablemente con sede en Rusia, ha dado un ultimátum a las víctimas de un ciberataque que ha afectado a organizaciones de todo el mundo. El grupo de piratas informáticos Clop advirtió en la dark web (web oscura) a las empresas afectadas por el ataque al software comercial MOVEit que si no les envían un correo electrónico antes del 14 de junio para empezar negociaciones, se publicarán los datos robados.

El ataque a MOVEit y sus implicaciones

Los delincuentes encontraron una manera de meterse en el popular software comercial MOVEit y luego pudieron usar ese acceso para ingresar a las bases de datos de posiblemente cientos de otras compañías. MOVEit pertenece a la empresa estadounidense Progress Software. Sirve para que muchas compañías muevan archivos de forma segura en los sistemas de la empresa.

Una investigación de seguridad cibernética ya había sugerido que el grupo Clop podría ser responsable del ataque, que se dio a conocer públicamente la semana pasada. Con base en las técnicas utilizadas por el grupo, los analistas de Microsoft dijeron el lunes que creían que el grupo Clop estaba detrás del ataque. Es algo que ha quedado confirmado en un extenso blog publicado en mal inglés.

El texto, visto por la BBC, dice: “Este es un anuncio para hacer saber a las empresas que usan el producto Progress MOVEit de que es probable que hagamos públicos una gran cantidad de sus datos como parte de una acción excepcional”. El texto insta a las organizaciones víctimas a enviar un correo electrónico a la banda de delincuentes para comenzar una negociación en la dark web.

Víctimas del ciberataque

Más de 100.000 empleados de la BBC, British Airways y Boots han sido informados de que es posible que se hayan filtrado datos de sus nóminas. El proveedor de servicios de nómina Zellis, con sede en el Reino Unido, es uno de los usuarios de MOVEit. Zellis ha confirmado que, como resultado del hackeo, se han robado datos de ocho organizaciones de Reino Unido, que incluyen domicilios, números de seguros nacionales y, en algunos casos, datos bancarios. No todas las empresas han visto los mismos datos expuestos.

Los clientes de Zellis que han sido hackeados incluyen:

• BBC
• British Airways
• Aer Lingus
• Boots

El gobierno de la provincia canadiense de Nueva Escocia y la Universidad de Rochester también han advertido a su personal que es posible que hayan sido víctimas.

Clop afirma que ha eliminado todos los datos de los servicios gubernamentales, municipales o policiales. “No se preocupe, borramos sus datos, no necesita contactarnos.

Tácticas inusuales de Clop

Esta es una táctica inusual, ya que normalmente son los piratas informáticos quienes envían solicitudes de pago extorsivo por correo electrónico a las organizaciones que han sufrido el ataque, pero aquí están exigiendo que sean las víctimas las que se comuniquen en primer lugar. Esto podría deberse a que Clop aún no entiende la escala del hackeo que ha cometido y que aún se está procesando en todo el mundo. “Mi opinión es que tienen tantos datos que les resulta difícil estar al tanto de todo. Están apostando a que, si sabes que has sido hackeado, contactarás con ellos”, dice el director ejecutivo de SOS Intelligence, Amir Hadžipasić.

Las autoridades siempre recomiendan a las empresas afectadas que no paguen si los piratas informáticos exigen dinero.

Contraseñas en texto plano: Una amenaza latente

Un reciente hallazgo ha sacudido al mundo de la ciberseguridad: se han descubierto más de 184 millones de contraseñas en texto plano publicadas en un foro de hackers. ¿Por qué es tan grave esta filtración? A diferencia de otras brechas de datos donde las contraseñas suelen estar cifradas, en este caso las contraseñas están completamente legibles, sin ningún tipo de protección.

Medidas recomendadas para la protección de datos

El consejo de los expertos es que las personas no entren en pánico y que las organizaciones lleven a cabo controles de seguridad emitidos por autoridades como la Autoridad de Infraestructura y Seguridad Cibernética de los Estados Unidos. En Infordisa te recomendamos tomar medidas inmediatas:

• Verifica si tus cuentas han sido comprometidas.
• Revise regularmente los movimientos de sus cuentas y tarjetas de crédito o débito.
• Si utiliza la misma contraseña en diferentes servicios, considere actualizarla, especialmente en plataformas relacionadas con banca y servicios fiscales.
• Active la autenticación de dos factores en cuentas bancarias, correos electrónicos y cualquier portal relacionado con impuestos.
• Desconfíe de comunicaciones que soliciten información personal o financiera.

Cómo puede ayudar Infordisa

Desde nuestro SOC (Centro de Operaciones de Seguridad), monitorizamos en tiempo real amenazas como estas y ayudamos a empresas a prevenir, detectar y responder ante incidentes de seguridad. En Forlopd disponemos de una amplia experiencia ayudando a empresas, profesionales y entidades a proteger la información de sus clientes y los datos privados.

Supuesta brecha en el Ministerio de Hacienda

En los últimos días, diversos medios han informado sobre un posible incidente de seguridad que podría afectar a los datos personales y financieros de millones de ciudadanos almacenados en el Ministerio de Hacienda. La alarma surgió a raíz de la publicación de una firma de ciberseguridad que señalaba una supuesta brecha en las bases de datos del Ministerio. Según este informe, un grupo identificado como HaciendaSec podría estar implicado en el intento de comercializar información sensible que incluiría datos personales, fiscales y bancarios de aproximadamente 47 millones de personas.

Desde el Ministerio de Hacienda han declarado que, hasta la fecha, no existen indicios de accesos no autorizados a sus sistemas. Las unidades de seguridad continúan evaluando y revisando los sistemas para descartar cualquier vulneración, y se mantiene un seguimiento riguroso para garantizar la protección de la información de los ciudadanos.

Aunque la magnitud de la cifra de personas afectadas puede parecer alarmante, por el momento no hay confirmación de que la información haya sido realmente comprometida. La situación se encuentra en fase de verificación, y la alerta proviene de fuentes externas al Ministerio. Hasta el momento, no hay evidencia de que los sistemas de Hacienda hayan sido vulnerados. Los datos que se mencionan incluyen nombres completos, números de identificación fiscal, direcciones, correos electrónicos y algunos datos bancarios. Sí, es recomendable actualizar contraseñas en portales sensibles, especialmente si se utilizan las mismas combinaciones en varios servicios. En caso de confirmarse la vulneración, el Ministerio está obligado a informar a los afectados y a tomar medidas correctivas.