¿Es usted uno de los 62 millones de personas afectadas por la infracción de MOVEit? La violación de MOVEit es uno de los mayores ataques de 2023, en el que el grupo de ransomware Clop rescató a miles de organizaciones y se llevó decenas de millones de dólares.

Entonces, ¿qué es el ataque de ransomware MOVEit y cómo ha afectado a tanta gente?

¿Qué es MOVEIt?

MOVEit es un software y servicio de transferencia segura de archivos desarrollado por Progress Software, diseñado para facilitar la transferencia segura de datos confidenciales entre organizaciones e individuos. MOVEit es utilizado por empresas, organizaciones gubernamentales, universidades y básicamente cualquier entidad que almacene y administre sus datos, lo que permite a las empresas transferir archivos y datos de forma segura para protegerlos de accesos no autorizados o infracciones.

Sin embargo, en mayo de 2023, esto dejó de ser así cuando el grupo de ransomware Clop pirateó los datos de miles de organizaciones que utilizaban MOVEIt para sus datos.

¿Cómo ocurrió la infracción de MOVEit?

En mayo de 2023, el infame grupo de ransomware Clop aprovechó una vulnerabilidad de día cero en la aplicación MOVEIt.

Una vulnerabilidad de día cero es una falla de seguridad del software desconocida para el proveedor o el público y explotada por los atacantes antes de que esté disponible una solución o un parche. Las vulnerabilidades de día cero son particularmente peligrosas porque podrían explotarse sigilosamente sin el conocimiento del proveedor durante mucho tiempo. Se encontraron tres vulnerabilidades, pero se cree que sólo una ha sido explotada.

Crédito de la imagen: rawpixel.com/Freepik

El grupo de ransomware Clop descubrió múltiples vulnerabilidades de inyección SQL en la aplicación MOVEit, lo que les permitió acceder a la base de datos de las organizaciones y descargar y ver datos. La inyección SQL es una vulnerabilidad en la que se inserta código SQL malicioso en los campos de entrada, explotando las vulnerabilidades en una aplicación respaldada por una base de datos. El código no autorizado puede manipular la base de datos, exponiendo o alterando potencialmente información confidencial.

Las vulnerabilidades de inyección SQL están registradas como CVE-2023-34362, CVE-2023-35036 y CVE-2023-35708, y fueron parcheadas el 31 de mayo de 2023, el 9 de junio de 2023 y el 15 de junio de 2023, respectivamente. Todas las versiones de la aplicación de transferencia MOVEit eran vulnerables a estas vulnerabilidades. Cuando se explota, permite que un atacante no autenticado obtenga acceso al contenido de la base de datos de transferencia MOVEIt de la organización. Esto significa que el atacante puede descargar, alterar o incluso eliminar bases de datos sin ninguna restricción.

Aunque Progress Software parchó estas vulnerabilidades, ya era demasiado tarde. En el período en que el público y los proveedores desconocían el exploit de día cero, los atacantes accedieron y violaron los datos de miles de organizaciones que utilizaban MOVEit para administrar y transferir sus datos.

El impacto de la infracción de MOVEit

De acuerdo aEl análisis de Emisofty estadísticas sobre la violación de datos de MOVEit, al 9 de noviembre de 2023, 2659 organizaciones se han visto afectadas por la violación de MOVeit y más de 67 millones de personas se han visto afectadas con organizaciones con sede principalmente en los Estados Unidos, Canadá, Alemania y el Reino Unido.

La educación es el sector más afectado, ya que estos atacantes desvían los datos de numerosas universidades. Las organizaciones educativas afectadas por esta infracción incluyen el sistema de escuelas públicas de la ciudad de Nueva York, la Universidad John Hopkins, la Universidad de Alaska y la Universidad Webster, entre otras universidades populares. Otros sectores muy afectados por esta violación incluyen el sector de la salud, los bancos, las instituciones financieras y las empresas.

Algunas de las organizaciones más conocidas afectadas por el ransomware MOVEit incluyen la BBC, Shell, Siemens Energy, Ernst &Young y British Airways.

El 25 de septiembre de 2023, líder en servicio de registro prenatal, neonatal y infantil,NACIDO Ontario, emitió una declaración sobre la infracción de MOVEit, revelando que se vieron afectados por la infracción de MOVEit. Según su informe, la vulnerabilidad MOVEit permitió a terceros maliciosos no autorizados acceder y copiar archivos de información de salud personal contenidos en los registros de BORN Ontario, que habían sido transferidos mediante el software de transferencia segura de archivos.

En respuesta, Born Ontario aisló inmediatamente el sistema, desmanteló el servidor afectado e inició una investigación, asociándose con expertos en ciberseguridad para determinar la gravedad y qué datos específicos fueron robados.

Muchas de estas organizaciones fueron pirateadas no porque usaran la aplicación MOVEit sino porque patrocinaban a proveedores externos que hacían uso de la aplicación de transferencia MOVEit, lo que llevó a que también fueran violadas. Es una situación similar para otras organizaciones, que cuesta miles de millones de dólares en pagos de ransomware y otras correcciones de seguridad.

Usted se ha visto afectado por la infracción de MOVEit. ¿Qué sigue?

Si todavía estás usando MOVEit, parchealo inmediatamente a la última versión para evitar que estos piratas informáticos roben tus archivos y datos. Desafortunadamente, Internet y el software que lo utiliza son propensos a ataques y ransomware, y usted debe mantenerse seguro y proteger sus activos cambiando las contraseñas con regularidad, utilizando software antivirus y habilitando la autenticación multifactor.

Aún así, como muestra la violación de MOVEit, puedes hacer todo eso y un equipo de hackers encontrará un exploit nunca antes visto.