BlackBerry protege a los clientes del ransomware Clop

Tres de las “Cuatro Grandes” firmas contables han confirmado públicamente que se han visto afectadas por los ataques a la plataforma de transferencia de archivos MOVEit, orquestados por el grupo de amenazas Clop, que se cree que están vinculados con Rusia. Las cuatro grandes firmas contables son responsables de auditar más del 80% de todas las empresas estadounidenses.

El alcance general de los ataques Clop está creciendo, junto con el número de víctimas conocidas públicamente, y informes recientes indican que la banda de ransomware Clop probablemente ganará más de 75 millones de dólares en pagos de rescate.

BlackBerry ayuda a proteger a sus clientes de las múltiples herramientas de ataque que utiliza Clop.

BlackBerry ha verificado que su software de ciberseguridad, impulsado por Cylance® AI, protege contra estas vulnerabilidades. Cylance fue pionera en el uso de la IA para prevenir ataques de ciberseguridad y fue la primera en incorporar la IA en su motor de prevención. Al utilizar esta IA probada en batalla, CylanceENDPOINT™ condena cargas útiles que se sabe que están asociadas con estos ataques. Específicamente:

"Es importante tener en cuenta que no existe una única solución milagrosa en materia de ciberseguridad", afirma Ismael Valenzuela, vicepresidente de inteligencia de amenazas de BlackBerry. “Nunca ha habido uno, y nunca lo habrá. Pero las organizaciones que adoptan un enfoque de ciberseguridad holístico e informado sobre las amenazas siempre están mejor preparadas para defenderse de estos ataques”.

El reciente ataque del ransomware Clop contra usuarios de la plataforma de transferencia de archivos MOVEit está comprometiendo las redes de todo el mundo. En el ciberataque, señalado por el gobierno de EE. UU. y investigadores de seguridad el 1 de junio, la banda Clop explotó una vulnerabilidad crítica de día cero (ahora parcheada) en la infraestructura digital de MOVEit, lo que permitió a los actores de amenazas ingresar a múltiples redes corporativas y robar datos.

En una publicación en el canal Telegram de Clop, los operadores de ransomware exigieron a las víctimas que les pagaran antes del 14 de junio o que sus datos más confidenciales quedaran expuestos al mundo.

Hasta ahora, entre las víctimas nombradas de los ataques de MOVEit se incluyen agencias gubernamentales de EE. UU., compañías aéreas y de medios de comunicación, un gigante petrolero, servicios de salud, firmas consultoras internacionales y muchas más. Los operadores y afiliados de Clop han llegado a casi todos los sectores verticales.

Se cree que el sindicato de ransomware Clop (también conocido como CLOP o Cl0p) se origina o tiene su sede en Rusia, que tiene una larga historia de apoyo tácito o de proporcionar refugio seguro a los ciberdelincuentes que participan en ataques tolerados o ignorados por el Estado. El grupo apunta al sistema operativo Windows® y ejecuta sus operaciones utilizando un modelo de ransomware como servicio (RaaS).

Visto por primera vez en estado salvaje en 2019, los investigadores informaron que el ransomware Clop es una carga útil final popular para los ataques realizados por FIN11. FIN11 es un grupo de amenazas ruso con motivación financiera responsable de un subconjunto de la actividad atribuida a TA505.

Los operadores de ransomware son conocidos por sus técnicas de extorsión multinivel y su amplio conjunto de herramientas. Por ejemplo, Clop ransomware viene equipado con capacidades anti-análisis y anti-máquina virtual (VM). Otra característica desconcertante es su capacidad para desactivar aplicaciones antimalware como Windows Defender y Microsoft® Security Essentials antes de iniciar su rutina de cifrado.

En el momento de escribir este artículo, ha habido al menos 545 víctimas del exploit de vulnerabilidad MOVEit, que fueron afectadas directa o indirectamente por Clop. Ese número se basa en las notificaciones de violación de datos publicadas por las víctimas, así como en el propio sitio de fuga de datos de Clop.

Ahora, el Departamento de Justicia de Estados Unidos ha ofrecido una recompensa de hasta 10 millones de dólares por información que conduzca a la localización y condena de la banda de ransomware Clop.

La elección de los actores de amenazas de atacar plataformas de transferencia de archivos estuvo lejos de ser aleatoria; más bien, muestra una elección calculada de objetivos, ya que estas plataformas se utilizan con mayor frecuencia para la transferencia segura de datos confidenciales, como nóminas o información legal.

Se sabe que Clop se dirige a organizaciones en los Estados Unidos, Canadá, América Latina, Asia Pacífico y Europa, especialmente aquellas que generan ingresos de 5 millones de dólares o más al año.

Lea el Informe de amenazas de Clop Ransomware para obtener un análisis técnico profundo.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha recomendado encarecidamente a todos los clientes de MOVEit que revisen sus redes en busca de indicios de que los delincuentes puedan haber obtenido acceso no autorizado a sus redes durante los últimos 30 días.

CISA también recomienda a los usuarios revisar el artículo MOVEit Transfer de Progress Software y aplicar las actualizaciones del producto según corresponda para mejorar la seguridad. El Service Pack aborda las tres nuevas vulnerabilidades (CVE-2023-36934, CVE-2023-36932, CVE-2023-36933) en MOVEit Transfer que un actor de amenazas cibernéticas podría explotar para obtener información confidencial.

Lea nuestro blog MOVEit Mitigations para obtener consejos adicionales sobre cómo defenderse contra los ataques Clop.

Si usted o su organización pueden haber sido comprometidos por cualquiera de los códigos o actividades maliciosos a los que se hace referencia en este blog, comuníquese con el equipo de respuesta a incidentes de BlackBerry. El equipo puede trabajar con organizaciones de cualquier tamaño y en cualquier industria vertical, para evaluar y mejorar su postura de seguridad de endpoints y mantener proactivamente la seguridad, integridad y resiliencia de su infraestructura de red.

Para obtener asistencia de emergencia, envíenos un correo electrónico a [email protected] o utilice el formulario para levantar la mano.

Para recibir artículos y noticias similares directamente en su bandeja de entrada, suscríbase al Blog de BlackBerry.

Lectura relacionada

Bruce Sussman es editor gerente senior de BlackBerry.

Editor principal de investigación de amenazas, BlackBerry Natasha Rohner es editor principal de investigación de amenazas del Blog de BlackBerry, la publicación de ciberseguridad de BlackBerry.

Como autora, escritora y editora publicada internacionalmente, Natasha tiene 25 años de experiencia en publicaciones tradicionales y digitales. Ávida fanática de la ciencia ficción, ha publicado 8 novelas para grandes compañías de medios como Rebellion y New Line Cinema, incluidas las adaptaciones de libros oficiales de franquicias cinematográficas de Hollywood como Blade, Final Destination y Nightmare on Elm Street. Su trilogía de terror original, Dante's Girl, fue publicada por Solaris, una división del gigante de los juegos Games Workshop.

Los libros de Natasha se han traducido a 9 idiomas, incluidos francés, polaco e italiano, y ha aparecido como oradora invitada en paneles de autores en Comic-Con en California. Tiene una licenciatura con honores en Producción Cinematográfica de la Universidad de Gales que, literalmente, nunca ha utilizado.