Dados de até 100.000 profissionais de saúde da Nova Escócia roubados em violação do MOVEit

Dados de pelo menos 100.000 funcionários do setor de saúde da Nova Escócia foram roubados como resultado da vulnerabilidade no aplicativo de transferência de arquivos MOVEit da Progress Software, informou a província na terça-feira.

Os dados roubados incluem números de seguro social, endereços e informações bancárias de funcionários da Nova Scotia Health, do serviço público e do IWK Health Centre, que é um grande hospital pediátrico e centro de trauma.

As províncias usam o MOVEit para transferir informações de folha de pagamento. Começou a notificar as vítimas.

A gangue do ransomware Clop/Cl0p disse ao BleepingComputer que está por trás dos ataques de roubo de dados do MOVEit Transfer. Para equipes de infosec que executam o serviço Defender Threat Intelligence da Microsoft, a Microsoft chama esse grupo de Lace Tempest.

De acordo com a BBC, outras vítimas incluem a BBC, a British Airways, a cadeia de farmácias britânica Boots e as companhias aéreas irlandesas Aer Lingus.

A vulnerabilidade de dia zero da injeção SQL foi anunciada pela Progress Software em 31 de maio. Pesquisadores da Mandiant acreditam que a primeira evidência de exploração ocorreu em 27 de maio, resultando na implantação de shells da Web e roubo de dados. Em alguns casos, dizem os pesquisadores, os dados foram roubados minutos após a implantação de shells da web.

A vulnerabilidade é conhecida como CVE-2023-34362.

Nos últimos dois anos e meio, os hackers exploraram falhas em aplicativos de transferência de arquivos, incluindo GoAnywhere MFT, Apera Faspex da IBM e Accelion FTA.

Muitos pesquisadores dizem que os departamentos de TI que não instalaram o patch imediatamente ou estavam usando versões não afetadas da versão local ou na nuvem do MOVEit deveriam presumir que seus sistemas foram comprometidos.

Pesquisadores do Huntress Labs disseram que, em 1º de junho, uma varredura na web usando o mecanismo de busca Shodan sugeriu que havia mais de 2.500 servidores disponíveis publicamente na internet aberta.

Os pesquisadores da Huntress criaram uma exploração que permitia receber acesso de shell com Meterpreter, escalar para Windows NT AUTHORITY\SYSTEM e detonar uma carga útil de ransomware Cl0p. “Isso significa que qualquer adversário não autenticado pode desencadear uma exploração que implanta instantaneamente ransomware ou executa qualquer outra ação maliciosa”, concluem os pesquisadores. "O código malicioso seria executado sob o usuário moveitsvc da conta de serviço MOVEit, que está no grupo de administradores locais. O invasor pode desativar as proteções antivírus ou obter qualquer outra execução arbitrária de código."

Pesquisadores da CrowdStrike dizem que o webshell criado por um invasor utilizará uma conta de usuário existente com nível de permissão "30" ou um novo nome de usuário gerado aleatoriamente para estabelecer uma sessão persistente no aplicativo MOVEit. O blog deles contém instruções sobre como as equipes de infosec podem investigar um possível comprometimento.

Os dados roubados podem ser usados ​​para ataques de engenharia social ou resgate, observou Tim West, chefe de inteligência de ameaças da WithSecure. Ele observou que a British Airways disse que as informações de pagamento de seus funcionários foram roubadas, mas as organizações devem esperar que a maior parte dos dados seja resgatada e/ou carregada em um site de vazamento.

Nossa experiente equipe de jornalistas e blogueiros oferece a você entrevistas, vídeos e conteúdo envolventes e detalhados direcionados a profissionais de TI e executivos de negócios.