El grupo de ransomware Clop afirma estar detrás de los recientes ataques que han explotado una vulnerabilidad de día cero en la herramienta de transferencia de archivos GoAnywhere.
El fallo de seguridad, registrado como CVE-2023-0669, permite a los atacantes obtener la ejecución remota de código en instancias MFT de GoAnywhere que sigue sin parchear.
Según el grupo de ransomware, han robado datos de servidores vulnerables durante diez días. También afirman que han podido moverse lateralmente a través de las redes de sus víctimas e implementar cargas útiles de ransomware para cifrar sus sistemas.
Sin embargo, apuntan que decidieron no hacerlo y solo robaron los documentos almacenados en los servidores de GoAnywhere MFT comprometidos.
Por el momento se han negado a proporcionar pruebas o compartir detalles adicionales sobre estas afirmaciones, así como si estaban extorsionando a las víctimas y el precio de los rescates.
No obstante, desde Huntress, también han vinculado los ataques GoAnywhere MFT con TA505, un grupo de amenazas conocido por implementar el ransomware Clop en el pasado.
Primeros pasos contra Clop
El desarrollador de GoAnywhere MFT, Fortra (antes conocido como HelpSystems), reveló a sus clientes la semana pasada que la vulnerabilidad estaba siendo explotada como un ataque de día cero.
Después de que el pasado día 6 de febrero se lanzara un exploit de prueba de concepto, que permite la ejecución remota de código no autenticado en servidores vulnerables, la compañía emitió actualizaciones de seguridad de emergencia al día siguiente.
Con ello, Fortra ha querido proteger sus servidores de los intentos de ataque, además de publicar otra actualización en su sitio web de soporte apuntando que algunas de sus instancias de MFTaaS también fueron violadas en los ataques.
Según el comunicado de la compañía, «hemos implementado una interrupción temporal del servicio, que continúa restableciéndose cliente por cliente a medida que se aplica y verifica la mitigación dentro de cada entorno».
Por su parte, desde CISA también han incorporado la vulnerabilidad CVE-2023-0669 a su catálogo y ha ordenado a las agencias federales estadounidenses parchear sus sistemas dentro de las próximas tres semanas.
Clop apunta alto
El supuesto uso de Clop para robar datos es una táctica muy similar a la que usaron en diciembre de 2020, cuando descubrieron y explotaron una vulnerabilidad de día cero en Accellion para robar los datos de aproximadamente un centenar de empresas.
En ese momento, las empresas recibían correos electrónicos que exigían pagos de rescate de 10 millones de dólares para evitar que sus datos se filtraran públicamente.
En esos ataques, los operadores de Clop robaron grandes cantidades de datos de empresas de alto perfil utilizando el dispositivo de transferencia de archivos (FTA) de Accellion.
Las organizaciones a las que Clop atacó sus servidores fueron, entre otras, Shell, la cadena de supermercados Kroger, la empresa de ciberseguridad Qualys y varias universidades de todo el mundo, como Stanford Medicine, University of Colorado, University of Miami y la Universidad de California, entre otras.
En junio de 2021, parte de la infraestructura de Clop se cerró después de una operación policial internacional tras el arresto en Ucrania de seis blanqueadores de dinero que trabajaban para Clop. Ahora, el grupo vuelve a la carga.
