Cuando material robado se publica en línea

Los hackers que tratan de causar el mayor daño posible a la reputación están enviando enlaces a los datos que roban gracias a las vulnerabilidades de Accellion FTA.

El año pasado, surgió información sobre ataques a empresas que utilizaban Accellion File Transfer Appliance (FTA) obsoleto. Algunos cibercriminales utilizaron las vulnerabilidades de Accellion FTA para hacerse de información confidencial y amenazar con publicarla a fin de extorsionar un rescate de las víctimas. No nos da gusto informar que cumplieron su amenaza.

¿Cuál es la vulnerabilidad?

Accellion FTA es una implementación empresarial de dispositivos de red para la entrega rápida y fácil de archivos de gran tamaño.  A sus veinte años, su retiro estaba programado para este año. Los desarrolladores tienen tiempo solicitando una migración a productos más modernos.

En diciembre de 2020, el descubrimiento de dos vulnerabilidades —CVE-2021-27101 y CVE-2021-27102— en la solución permitió que los atacantes tuvieran acceso a archivos subidos a los dispositivos FTA.  Las vulnerabilidades fueron cerradas, pero en enero de 2021 se descubrieron dos más (CVE-2021-27103 y CVE-2021-27104)  y éstas fueron parchadas.

Sin embargo, los intrusos lograron robar datos de varios usuarios de Accellion FTA. Posteriormente aparecieron comunicados de prensa de alto perfil sobre las fugas. Parece que no todas las víctimas estuvieron de acuerdo en pagar el rescate, por lo que los atacantes cumplieron su amenaza de compartir los datos que habían robado.

Cómo los cibercriminales publican los datos

Recientemente detectamos correos electrónicos masivos que tenían el fin de comprometer la reputación de sus víctimas a los ojos de los empleados, los clientes y los socios, además de la competencia. No se sabe a ciencia cierta la magnitud de estos envíos ni el origen de las direcciones, pero, al parecer, los cibercriminales trataban de alcanzar la mayor audiencia posible.

Correo electrónico de los atacantes a los empleados, clientes, socios y a la competencia

Correo electrónico de los atacantes a los empleados, clientes, socios y a la competencia

 

Los mensajes instaban a los destinatarios a utilizar el navegador Tor para visitar una página .onion, y afirmaban que el sitio web había tenido miles de visitas por día. Los supuestos visitantes incluían todo tipo de hackers y periodistas que podrían causar un daño todavía mayor a la infraestructura y reputación de una empresa. Cabe destacar que el sitio pertenece al grupo CL0P que se especializa en ransomware, aunque en los ataques a través de las vulnerabilidades de Accellion FTA los archivos no fueron cifrados. Al parecer, los hackers se aprovecharon de esta plataforma conveniente.

Por supuesto, el objetivo es intimidar a otras víctimas. Dicho sea de paso, tanto el correo electrónico como el sitio web incluyen detalles de contacto de los atacantes a fin de que eliminen los archivos publicados, aunque no tiene mucho caso si la información ya ha sido liberada.

Vale la pena señalar que el sitio muestra un anuncio que ofrece lecciones para los administradores sobre cómo cerrar las vulnerabilidades mediante las cuales se robaron los datos, ¡por $250,000 en bitcoins!

Oferta para ayudar a las posibles víctimas a evitar el mismo destino

Oferta para ayudar a las posibles víctimas a evitar el mismo destino

 

Dudamos que alguien caiga. Para empezar, los desarrolladores ya liberaron versiones actualizadas de Accellion FTA, y, además, pedir ayuda equivale a admitir que no se puede cerrar la vulnerabilidad y que sigue siendo explotable.

Cómo proteger a tu empresa contra estos ataques

En primer lugar, actualiza Accellion FTA, o, aún mejor, deja de usar esta solución (incluso los desarrolladores lo recomiendan).

En segundo lugar, actualiza todos los productos de software y servicios que tengan acceso a Internet. Es importante hacer esto de inmediato, pero también asegurar actualizaciones constantes y oportunas.

Asimismo, protege todos tus dispositivos —ya sea una estación de trabajo, servidor, o soluciones de hardware o software— con un producto de seguridad que pueden detectar intentos de explotar vulnerabilidades, incluidas las desconocidas.

Para quien haya sido víctima de los extorsionistas, no recomendamos pagar. Eugene Kaspersky nos da una explicación detallada en su publicación más reciente.

Consejos