ClickCease La banda de ransomware Cl0p explota el fallo de inyección SQL de la transferencia MOVEit

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

La banda de ransomware Cl0p explota el fallo de inyección SQL de la transferencia MOVEit

22 de junio de 2023 - Equipo de RRPP de TuxCare

En un esfuerzo de colaboración, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. (CISA) y la Oficina Federal de Investigaciones (FBI) han emitido un aviso conjunto exponiendo una explotación en curso de una vulnerabilidad crítica en la aplicación MOVEit Transfer de Progress Software por parte de la notoria banda de ransomware Cl0p, también conocida como TA505. Este grupo cibercriminal ha capitalizado un fallo de inyección SQL presente en la solución de transferencia gestionada de archivos (MFT) de Progress Software, MOVEit Transfer, para lanzar sus ataques maliciosos.

El aviso proporciona información sobre la utilización por parte de la Cl0p Ransomware Gang de una vulnerabilidad crítica en la aplicación MOVEit Transfer de Progress Software, explotando un fallo de inyección SQL para atacar las aplicaciones web de MOVEit Transfer orientadas a Internet. Alarmando a la comunidad de ciberseguridad, esta banda ha amenazado además con liberar públicamente los datos robados a menos que las empresas objetivo cumplan con sus demandas antes del 14 de junio de 2023.

Microsoft, que opera bajo el nombre en clave Lace Tempest (también conocido como Storm-0950), ha estado vigilando activamente las actividades cibernéticas de la Cl0p Ransomware Gang. Han confirmado que este grupo es responsable de la explotación de una vulnerabilidad de seguridad crítica en los servidores PaperCut. Durante más de cuatro años, a partir de febrero de 2019, esta organización criminal se ha dedicado a operaciones ilícitas como ejecutar campañas de ransomware como servicio y actuar como intermediarios de acceso inicial. Su modus operandi implica explotar vulnerabilidades como CVE-2023-34362, un fallo de inyección SQL encontrado en MOVEit Transfer, para obtener el control de aplicaciones orientadas a Internet y llevar a cabo ataques de ransomware. Al explotar esta vulnerabilidad, obtienen la capacidad de ejecutar código remoto, lo que puede conducir al despliegue de ransomware u otras cargas útiles destructivas.

En un análisis realizado por Kroll, se descubrió que los actores de la amenaza Cl0p han estado experimentando con una vulnerabilidad específica desde abril de 2022, con pruebas preliminares detectadas ya en julio de 2021. Las observaciones realizadas por Censys también indican un descenso en el número de instancias expuestas de MOVEit Transfer de más de 3.000 hosts a algo más de 2.600.

Kevin Beaumont se refirió a la situación, señalando que el grupo de ransomware Cl0p ha recurrido a la explotación de vulnerabilidades de día cero en aplicaciones web por tercera vez en un lapso de tres años. Su objetivo específico gira en torno a los productos que destacan sus características de seguridad, lo que subraya aún más la evolución de las tácticas empleadas por estos actores de amenazas.

Las fuentes de este artículo incluyen un artículo en TheHackerNews.

Resumen
La banda de ransomware Cl0p explota el fallo de inyección SQL de la transferencia MOVEit
Nombre del artículo
La banda de ransomware Cl0p explota el fallo de inyección SQL de la transferencia MOVEit
Descripción
El CISA y el FBI emitieron un aviso conjunto sobre la explotación en curso de un fallo crítico en la aplicación MOVEit Transfer de Progress Software.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín