El gobierno de EE. UU. ha confirmado que varias agencias federales han sido víctimas de ciberataques que explotan una vulnerabilidad de seguridad en una popular herramienta de transferencia de archivos.
En un comunicado compartido con TechCrunch, CISA confirmó que “varias” agencias gubernamentales de EE. UU. han experimentado intrusiones relacionadas con la explotación de una vulnerabilidad en MOVEit Transfer, una herramienta de transferencia de archivos empresariales desarrollada por Progress Software. La agencia también atribuyó los ataques a la pandilla de ransomware Clop, vinculada a Rusia, que esta semana comenzó a publicar los nombres de las organizaciones que afirma haber pirateado al explotar la falla de MOVEit.
CISA no dijo cuántas agencias se vieron afectadas por los ataques, que CNN informó por primera vez, y no nombró las agencias afectadas. Sin embargo, el Departamento de Energía confirmó a TechCrunch que dos de sus entidades estaban entre las violadas.
“Al enterarse de que los registros de dos entidades del DOE se vieron comprometidos en el ciberataque global al software de intercambio de archivos MOVEit Transfer, el DOE tomó medidas inmediatas para evitar una mayor exposición a la vulnerabilidad y notificó a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)”, un DoE dijo el vocero. “El Departamento ha notificado al Congreso y está trabajando con las fuerzas del orden público, CISA y las entidades afectadas para investigar el incidente y mitigar los impactos de la infracción”.
Según Federal News Network, las universidades asociadas de Oak Ridge y una planta piloto de aislamiento de residuos ubicada en Nuevo México fueron las dos entidades del DOE afectadas por la vulnerabilidad, exponiendo “la información de identificación personal de potencialmente decenas de miles de personas, incluidos los empleados y contratistas de energía”. .”
Alrededor de una docena de otras agencias estadounidenses tienen contratos MOVEit activos, según el Sistema Federal de Adquisición de Datos. Esto incluye el Departamento del Ejército, el Departamento de la Fuerza Aérea y la Administración de Drogas y Alimentos.
En una conferencia de prensa el jueves que abordó la vulnerabilidad de MOVEit, la directora de CISA, Jen Easterly, dijo que la agencia de seguridad cibernética está trabajando con las agencias afectadas “con urgencia para comprender los impactos y garantizar una reparación oportuna”. Si bien aún no se sabe si los datos han sido robados, Easterly agregó que las intrusiones no se aprovechan para “robar información específica de alto valor” o para ganar persistencia en los sistemas específicos.
“En resumen, tal como lo entendemos, este ataque es en gran medida oportunista”, dijo Easterly. “Además, no tenemos conocimiento de que los actores de Clop amenacen con extorsionar o liberar datos robados de las agencias gubernamentales de EE. UU.”
En una nueva actualización publicada en su sitio de fugas en la web oscura, Clop afirmó que los datos del gobierno se habían borrado y que aún no se habían incluido agencias gubernamentales como víctimas.
Sin embargo, Clop ha agregado otro lote de víctimas que afirma haber comprometido a través de la vulnerabilidad MOVEit, incluido el East Western Bank con sede en Boston Globe, California, la empresa de biotecnología con sede en Nueva York Enzo Biochem y la empresa de inteligencia artificial Nuance, propiedad de Microsoft.
Lynn Granito, una portavoz de la agencia que representa a Enzo, le dijo a TechCrunch que la compañía no haría comentarios. Ninguna de las otras empresas recién cotizadas ha respondido a las preguntas de TechCrunch.
El grupo de ransomware vinculado a Rusia publicó el primer lote de organizaciones afectadas, una lista que incluye a las organizaciones de servicios financieros con sede en EE. UU. 1st Source y First National Bankers Bank y al gigante energético británico Shell, solo un día antes.
A medida que salen a la luz nuevas víctimas, Progress Software se ha apresurado a parchear una nueva vulnerabilidad que afecta a MOVEit Transfer. Esta vulnerabilidad, rastreada como CVE-2023-35708, podría conducir al acceso no autorizado a los entornos de los clientes, advirtió Progress en su aviso.
