Clop Hacking Rampage atinge agências dos EUA e expõe dados de milhões

Cibersegurança Estados Unidos autoridades disseram ontem que um “pequeno número” de agências governamentais sofreu violações de dados como parte de uma ampla campanha de hackers que provavelmente está sendo realizada pela gangue de ransomware Clop, com sede na Rússia. O grupo cibercriminoso tem explorado uma vulnerabilidade no serviço de transferência de arquivos MOVEit para obter dados valiosos de vítimas, incluindo Shell, British Airways e BBC. Mas atingir os alvos do governo dos EUA só aumentará o escrutínio global da aplicação da lei sobre os cibercriminosos na já conhecida onda de hackers.

A Progress Software, proprietária do MOVEit, corrigiu a vulnerabilidade no final de maio, e a Agência de Segurança Cibernética e Infraestrutura dos EUA divulgou um comunicado com o Federal Bureau of Investigation em 7 de junho alertando sobre a exploração do Clop e a necessidade urgente de todas as organizações, tanto públicas e privado, para corrigir a falha. Um alto funcionário da CISA disse a repórteres ontem que todas as instâncias do MOVEit do governo dos EUA foram atualizadas.

Funcionários da CISA se recusaram a dizer quais agências dos EUA são vítimas da farra, mas confirmaram que o Departamento de Energia notificou a CISA de que está entre elas. A CNN, que noticiou pela primeira vez os ataques às agências do governo dos EUA, informou ainda hoje que a onda de hackers afetou as carteiras de motorista dos estados de Louisiana e Oregon e os dados de identificação de milhões de residentes. Clop também reivindicou anteriormente o crédito por ataques aos governos estaduais de Minnesota e Illinois.

“No momento, estamos fornecendo suporte a várias agências federais que sofreram invasões afetando seus aplicativos MOVEit”, disse Jen Easterly, diretora da CISA, a repórteres na quinta-feira. “Com base nas discussões que tivemos com parceiros do setor no Joint Cyber ​​Defense Collaborative, essas invasões não estão sendo aproveitadas para obter acesso mais amplo, para obter persistência em sistemas direcionados ou para roubar informações específicas de alto valor – em suma, como entendemos isso, este ataque é em grande parte oportunista.”

Easterly acrescentou que a CISA não viu Clop ameaçar liberar quaisquer dados roubados do governo dos EUA. E o alto funcionário da CISA, que falou aos repórteres sob a condição de não serem identificados, disse que a CISA e seus parceiros não veem evidências de que Clop esteja coordenando com o governo russo. De sua parte, a Clop afirmou que está focada em atingir empresas e excluirá todos os dados de governos ou autoridades.

O Clop surgiu em 2018 como um agente de ransomware padrão que criptografava os sistemas da vítima e exigia pagamento para fornecer a chave de descriptografia. A gangue de ransomware também é conhecida por encontrar e explorar vulnerabilidades em softwares e equipamentos amplamente usados ​​para roubar informações de uma variedade de empresas e instituições e, em seguida, lançar campanhas de extorsão de dados contra elas.

Allan Liska, analista da empresa de segurança Recorded Future, especializada em ransomware, diz que o Clop foi “moderadamente bem-sucedido” com a abordagem do ransomware. No entanto, acabou se diferenciando, afastando-se do ransomware baseado em criptografia e adotando seu modelo atual de desenvolvimento de exploits para vulnerabilidades em software corporativo e, em seguida, usando-os para realizar roubo de dados em massa.

E embora possa não haver coordenação direta entre o Kremlin e o Clop, a pesquisa mostrou repetidamente laços entre o governo russo e grupos de ransomware. Sob o acordo, esses sindicatos podem operar da Rússia com impunidade, desde que não tenham como alvo vítimas dentro do país e cedam à influência do Kremlin. Então, Clop está realmente excluindo os dados que coleta, mesmo que incidentalmente, de vítimas do governo?

“Não achamos que as agências do governo dos EUA tenham sido alvos específicos. O Clop simplesmente atingiu qualquer servidor vulnerável executando o software”, diz Liska sobre a campanha MOVEit. “Mas é altamente provável que qualquer informação que Clop tenha coletado do governo dos Estados Unidos ou de outros alvos interessantes tenha sido compartilhada com o Kremlin.”