O hack MOVEit originou cerca de 600 violações, mas ainda não acabou – analistas cibernéticos

Hack MOVEit originou 600 violações, mas não acabou - analistas cibernéticos

WASHINGTON/SAN FRANCISCO, 8 de agosto (ANBLE) – Uma violação de segurança multifacetada centrada em um único fabricante de software americano comprometeu dados em cerca de 600 organizações em todo o mundo, de acordo com as estatísticas de analistas de cibersegurança corroboradas pela ANBLE.

Mas mais de dois meses após a violação ter sido divulgada pela primeira vez pela Progress Software, sediada em Massachusetts, a lista de vítimas mal diminuiu. As estatísticas mostram que quase 40 milhões de pessoas foram afetadas até agora pelo hack do programa de gerenciamento de arquivos MOVEit Transfer da Progress. Agora, os extorsionistas digitais envolvidos, um grupo chamado “cl0p”, tornaram-se cada vez mais agressivos ao lançar seus dados na esfera pública.

“Estamos apenas no estágio inicial disso”, disse Marc Bleicher, diretor de tecnologia da empresa de resposta a incidentes Surefire Cyber. “Acredito que começaremos a ver o verdadeiro impacto e consequências no futuro.”

O MOVEit é usado por organizações para enviar grandes quantidades de dados frequentemente sensíveis: informações de pensão, números de seguro social, registros médicos, dados de faturamento e assim por diante. Como muitas dessas organizações estavam lidando com dados em nome de outras pessoas, que por sua vez obtinham os dados de terceiros, o hack se espalhou de maneiras às vezes complicadas.

Por exemplo, quando o cl0p subverteu o software MOVEit usado por uma empresa chamada Pension Benefit Information, especializada em localizar familiares sobreviventes de detentores de fundos de pensão, eles tiveram acesso aos dados da Teachers Insurance and Annuity Association of America, sediada em Nova York, que, por sua vez, gerencia programas de pensão para 15.000 clientes institucionais, muitos dos quais passaram as últimas semanas notificando funcionários sobre sua exposição.

“Existe esse efeito dominó”, disse John Hammond, da Huntress Security, um dos primeiros pesquisadores a começar a rastrear a violação.

Hacks de grupos como o cl0p ocorrem com uma regularidade sufocante. Mas a variedade de vítimas comprometidas pelo hack do MOVEit, desde estudantes de escolas públicas de Nova York até motoristas da Louisiana e aposentados da Califórnia, tornaram-no um dos exemplos mais visíveis de como uma única falha em um software obscuro pode desencadear um desastre global de privacidade.

Christopher Budd, especialista em cibersegurança da empresa britânica Sophos, disse que a violação foi um lembrete de como as organizações são interdependentes em suas defesas digitais umas das outras.

A Progress disse ter sido vítima de “um grupo de cibercriminosos avançados e persistentes” e que seu foco está em apoiar seus clientes.

‘MILHARES DE EMPRESAS’

A campanha de hacking do cl0p começou em 27 de maio, de acordo com duas pessoas familiarizadas com a investigação da Progress.

A Progress ficou sabendo da violação no dia seguinte, quando um cliente alertou a empresa sobre atividade anômala, disseram essas fontes. Em 30 de maio, a empresa enviou um aviso e, no dia seguinte, emitiu um “patch”, ou reparo, que parcialmente frustrou a campanha dos hackers.

“Muitas organizações foram capazes de implementar o patch antes que ele pudesse ser explorado”, disse Eric Goldstein, um funcionário sênior da Agência de Segurança Cibernética e Infraestrutura dos EUA.

Nem todas as organizações tiveram tanta sorte. Detalhes sobre a quantidade de material roubado ou o número de organizações afetadas não estão disponíveis publicamente, mas Nathan Little, cuja empresa Tetra Defense respondeu a dezenas de incidentes relacionados ao MOVEit, estimou que a violação provavelmente afetou milhares de empresas.

“Nunca saberemos o número exato e detalhado”, disse ele.

Alguns analistas tentaram acompanhar. Até domingo, a empresa de cibersegurança Emsisoft havia totalizado 597 vítimas com 39,7 milhões de pessoas afetadas.

O especialista em TI alemão Bert Kondruss chegou a números semelhantes, que foram corroborados pela ANBLE por meio de verificação cruzada com declarações públicas, registros corporativos e postagens do cl0p.

QUEM FOI EXPOSTO?

Organizações educacionais – faculdades, universidades e até escolas públicas da cidade de Nova York – representaram um quarto das vítimas, com a Emsisoft e Kondruss contando mais de 100 apenas nos EUA.

A exposição foi muito além da academia.

Dirige um carro? As autoridades de veículos motorizados da Louisiana e do Oregon divulgaram coletivamente a violação de cerca de 9 milhões de registros. É aposentado? Organizações de gestão de pensão, como o California Public Employees’ Retirement System e a T. Rowe Price, foram violadas por meio da Pension Benefit Information. A violação na empreiteira do governo dos EUA Maximus sozinha resultou na violação de registros de entre 8 e 11 milhões de pessoas.

Uma esperança frágil? Os hackers podem ter ingerido muitos dados para liberá-los todos.

Alexander Urbelis, conselheiro sênior do escritório de advocacia Crowell & Moring, sediado em Nova York, que ajudou as vítimas a avaliar sua exposição à rede dos hackers, disse que a velocidade de download extremamente lenta do site escuro dos hackers “tornou praticamente impossível para qualquer pessoa” – seja bem-intencionada ou não – “acessar os dados roubados”.

Goldstein, o funcionário dos EUA, disse que, em “muitos casos”, os dados ainda não foram vazados.

O Cl0p, que não respondeu às mensagens da ANBLE, parece estar tentando melhorar seu jogo. No final do mês passado, ele criou sites especificamente para espalhar melhor os dados roubados. No início desta semana, ele começou a compartilhar os dados por meio de redes peer-to-peer.

Isso é uma má notícia para as vítimas, disse Bleicher da Surefire.

“Assim que esses dados começarem a ser vazados lentamente, eles se tornam mais visíveis no mundo underground”, disse ele. O impacto da violação, por sua vez, “provavelmente será muito maior do que pensamos agora”.