RANSOMWARE CLOP VULNERA GOANYWHERE MFT
RANSOMWARE CLOP VULNERA GOANYWHERE MFT
| 10/02/2023 | BOLETÍN NRO 2023-091 |
Recientemente el grupo Clop indico estar detrás de los recientes ataques que explotaron una vulnerabilidad zero day en la herramienta de transferencia segura de archivos GoAnywhere MFT, además informaron que robaron datos de más de 130 organizaciones.
Servicios Afectados
• Sistemas operativos Windows
Detalles Tecnicos
|
El fallo de seguridad rastreado como CVE-2023-0669, permite a los atacantes obtener la ejecución remota de código en instancias GoAnywhere MFT, en su consola administrativa expuesta con acceso a Internet.
Clop también afirmo que puede moverse lateralmente por las redes de sus víctimas y desplegar payloads de ransomware para cifrar sus sistemas, pero decidieron no hacerlo y solo robaron los documentos almacenados en los servidores GoAnywhere MFT comprometidos.
El desarrollador de GoAnywhere MFT, Fortra (antes conocido como HelpSystems), reveló a sus clientes la semana pasada que una vulnerabilidad estaba siendo explotada por los ciberdelincuentes.
Además, se publicó en Internet una prueba de concepto(POC) que permitía ejecutar código remoto sin autenticación en servidores vulnerables, la empresa publicó actualizaciones de seguridad de emergencia para que los clientes pudieran proteger sus servidores de ataques.
Desde entonces, Fortra ha publicado otra actualización en su sitio web de soporte (accesible solo después de iniciar sesión con una cuenta de usuario), diciendo que algunas de sus instancias MFTaaS también fueron vulneradas en los ataques.
CISA también añadió la vulnerabilidad CVE-2023-0669 GoAnywhere MFT a su Catálogo de Vulnerabilidades Explotadas Conocidas el viernes, ordenando a las agencias federales que actualicen sus sistemas en las próximas tres semanas.
El supuesto uso del vulnerabilidad zero day por parte de Clop en GoAnywhere para robar datos es una táctica muy similar a la que utilizaron en diciembre de 2020, cuando descubrieron y explotaron una vulnerabilidad en Accellion para robar los datos de aproximadamente 100 empresas.
Entre las organizaciones cuyos servidores fueron atacados por Clop se encuentra la compañía Shell, los supermercados Kroger, la empresa de ciberseguridad Qualys y múltiples universidades de todo el mundo (por ejemplo, Stanford Medicine, la Universidad de Colorado, la Universidad de Miami, la Universidad de Maryland Baltimore (UMB) y la Universidad de California).
Indicadores de Compromiso
Hash
MD5: 31e0439e6ef1dd29c0db6d96bac59446
SHA-256: 09d6dab9b70a74f61c41eaa485b37de9a40c86b6d2eae7413db11b4e6a8256ef
MD5: f59d2a3c925f331aae7437dd7ac1a7c8
SHA-256: 46cd508b7e77bb2c1d47f7fef0042a13c516f8163f9373ef9dfac180131c65ed
MD5: 5e52f75d17c80dd104ce0da05fdfc362
SHA-256: c793a9225d799150538f058c886e2806083f6bc33813a3bd8231ab2775b7ec2f
MD5: afe7f87478ba6dfca15839f958e9b2ef
SHA-256: f1b8c7b2d20040f1dd9728de9808925fdcf035a1a289d42f63e5faa967f50664
MD5: 8bd774fbc6f846992abda69ddabc3fb7
SHA-256: a9741b16f4169f56ae0f2e49c87f3c5360ed5ab4370e6d16bd86179999f11795
MD5: 4431b6302b7d5b1098a61469bdfca982
SHA-256: dd2f458a29b666bbfe5a5dbf6a36c906d0140e0ae15b599e8b4da1863e7e41ff
MD5: 8752a7a052ba75239b86b0da1d483dd7
SHA-256: 3320f11728458d01eef62e10e48897ec1c2277c1fe1aa2d471a16b4dccfc1207
MD5: 592a37d9d808f97c43f45ee515e9c914
SHA-256: cf0a24f1cdf5258c132102841d5b13e1c6978d9316ba4005076606dc60ec761b
MD5: 8fc09cb1540a6dea87a078b92c8f2b0a
SHA-256: 389e03b1a1fd1c527d48df74d3c26a0483a5b105f36841193172f1ee80e62c1b
MD5: 91b05a8c97429ef315ddb7e00613f133
SHA-256: 85c42e1504bdce63c59361fb9b721a15a80234e0272248f9ed7eb5f9ba7b3203
MD5: 0571bb4ecf3dbf5d5185eabd7d03d455
SHA-256: cb36503c08506fca731f0624fda1f7462b7f0f025a408596db1207d82174796a
MD5: 9ca31cf03258d8f02ab4cd8fccbf284b
SHA-256: af1d155a0b36c14626b2bf9394c1b460d198c9dd96eb57fac06d38e36b805460
MD5: b65646fd89d5860c470112417a54fb2f
SHA-256: ad320839e01df160c5feb0e89131521719a65ab11c952f33e03d802ecee3f51f
Recomendaciones
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Fuente
- Fuente 1: Clop ransomware claims to be behind GoAnywhere zero-day attacks
- Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft
Contáctanos
Si usted tiene alguna consulta no dude en contactarse con nosotros:
Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com
Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com
Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com
Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com
Asset Publisher
Reporte
126 Reporte Quincenal de Ciberinteligencia 2025
Reporte
125 Reporte Quincenal de Ciberinteligencia 2025
Reporte