El grupo de ciberdelincuentes desarrolladores del 'ransomware' Clop ha aprovechado una vulnerabilidad de día cero ('zero day') en GoAnywhere MFT para acceder a los datos condfidenciales de más de 130 organizaciones.
La compañía desarrolladora de este 'software', Fortra, confirmó a comienzos de febrero que su gestor de transferencias de archivos había sido víctima de un ataque por un vulnerabilidad de día cero que estaba siendo explotada, y lanzó una actualización para que los clientes pudieran proteger sus servidores, como recoge Bleeping Computer.
Esta brecha, identificada como CVE-2023-0669, permite a los actores de amenazas la ejecución de código de forma remota en instancias de este 'software' de transferencia de archivos, así como implementar cargas útiles de 'ransomware' para cifrar sus sistemas.
A pesar de contar con esta última posibilidad, los ciberdelincuentes solo robaron los documentos almacenados en los servidores comprometidos de GoAnywhere MFT, según ha confirmado este grupo a dicho medio.
En concreto, Clop afirma haber robado los datos de más de 130 organizaciones en el transcurso de diez días una vez violaron los servidores de este 'software' gracias a una vulnerabilidad de día cero.
Se denomina vulnerabilidad 'Zero Day' a los fallos de 'software' para los que no existen parches correctores y de seguridad porque los desarrolladores de 'software' desconocían su existencia.
A pesar de dar a conocer el método de ataque y sus consecuencias, los ciberdelincuentes no han adelantado detalles adicionales sobre las posibles extorsiones a las víctimas ni el carácter o la actividad de las empresas afectadas.
A falta de más información acerca de este ataque, desde la plataforma de ciberseguridad y ciberamenazas Huntress apuntan que los ataques a través de GoAnywhere MFT están relacionados con el grupo de amenazas RA5050, conocidos por implementar el 'ransomware' de Clop anteriormente.
Desde Bleeping Computer también recuerdan que se ha procedido a hacer un rastreo del estado de esta vulnerabilidad, un estudio en el que se han identificado más de mil instancias de GoAnywhere expuestas 'online'.
El uso de Clop para robar datos a través de GoAnywhere MFT responde a una técnica similar a la utilizada en diciebre de 2020, cuando los ciberestafadores aprovecharon una vulnerabilidad cero del dispositivo red Accellion File Transfer Applicance (FTA) para robar información de un centenar de empresas.
Entonces, los agentes de amenazas exigían a las empresas pagos de rescate de unos 10 millones de dólares (unos 9.300.000 euros) para que no publicasen sus datos públicamente. Entre algunas de las afectadas entonces se encontraban Shell, Kroger, Qualys y la Universidad de Colorado.