La banda de ransomware Cl0p explota el fallo de inyección SQL de la transferencia MOVEit
En un esfuerzo de colaboración, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) y la Oficina Federal de Investigaciones (FBI) han emitido un aviso conjunto exponiendo una explotación en curso de una vulnerabilidad crítica en la aplicación MOVEit Transfer de Progress Software por parte de la notoria banda de ransomware Cl0p, también conocida como TA505. Este grupo cibercriminal ha capitalizado un fallo de inyección SQL presente en la solución de transferencia gestionada de archivos (MFT) de Progress Software, MOVEit Transfer, para lanzar sus ataques maliciosos.
El aviso proporciona información sobre la utilización por parte de la Cl0p Ransomware Gang de una vulnerabilidad crítica en la aplicación MOVEit Transfer de Progress Software, explotando un fallo de inyección SQL para atacar las aplicaciones web de MOVEit Transfer orientadas a Internet. Alarmando a la comunidad de ciberseguridad, esta banda ha amenazado además con liberar públicamente los datos robados a menos que las empresas objetivo cumplan con sus demandas antes del 14 de junio de 2023.
Microsoft, que opera bajo el nombre en clave Lace Tempest (también conocido como Storm-0950), ha estado vigilando activamente las actividades cibernéticas de la Cl0p Ransomware Gang. Han confirmado que este grupo es responsable de la explotación de una vulnerabilidad de seguridad crítica en los servidores PaperCut. Durante más de cuatro años, a partir de febrero de 2019, esta organización criminal se ha dedicado a operaciones ilícitas como ejecutar campañas de ransomware como servicio y actuar como intermediarios de acceso inicial. Su modus operandi implica explotar vulnerabilidades como CVE-2023-34362, un fallo de inyección SQL encontrado en MOVEit Transfer, para obtener el control de aplicaciones orientadas a Internet y llevar a cabo ataques de ransomware. Al explotar esta vulnerabilidad, obtienen la capacidad de ejecutar código remoto, lo que puede conducir al despliegue de ransomware u otras cargas útiles destructivas.
En un análisis realizado por Kroll, se descubrió que los actores de la amenaza Cl0p han estado experimentando con una vulnerabilidad específica desde abril de 2022, con pruebas preliminares detectadas ya en julio de 2021. Las observaciones realizadas por Censys también indican un descenso en el número de instancias expuestas de MOVEit Transfer de más de 3.000 hosts a algo más de 2.600.
Kevin Beaumont se refirió a la situación, señalando que el grupo de ransomware Cl0p ha recurrido a la explotación de vulnerabilidades de día cero en aplicaciones web por tercera vez en un lapso de tres años. Su objetivo específico gira en torno a los productos que destacan sus características de seguridad, lo que subraya aún más la evolución de las tácticas empleadas por estos actores de amenazas.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.