Dati su ben 100.000 operatori sanitari della Nuova Scozia rubati nella violazione MOVEit

I dati di almeno 100.000 dipendenti del settore sanitario della Nuova Scozia sono stati rubati a causa della vulnerabilità dell'applicazione di trasferimento file MOVEit di Progress Software, ha dichiarato martedì la provincia.

I dati rubati includono numeri di previdenza sociale, indirizzi e informazioni bancarie dei dipendenti della Nova Scotia Health, del servizio pubblico e dell'IWK Health Center, che è un importante ospedale pediatrico e centro traumatologico.

Le province utilizzano MOVEit per trasferire le informazioni sui salari. Ha iniziato a informare le vittime.

Il gruppo di ransomware Clop/Cl0p ha dichiarato a BleepingComputer di essere dietro gli attacchi di furto di dati MOVEit Transfer. Per i team di infosec che eseguono il servizio Defender Threat Intelligence di Microsoft, Microsoft chiama questo gruppo Lace Tempest.

Secondo la BBC, tra le altre vittime figurano la BBC, la British Airways, la catena di farmacie britannica Boots e la compagnia aerea irlandese Aer Lingus.

La vulnerabilità zero-day SQL injection è stata annunciata da Progress Software il 31 maggio. I ricercatori di Mandiant ritengono che le prime prove di sfruttamento si siano verificate il 27 maggio, con conseguente implementazione di web shell e furto di dati. In alcuni casi, affermano i ricercatori, i dati sono stati rubati entro pochi minuti dall’implementazione delle web shell.

La vulnerabilità è nota come CVE-2023-34362.

Negli ultimi due anni e mezzo, gli hacker hanno sfruttato le falle nelle applicazioni di trasferimento file tra cui GoAnywhere MFT, Apera Faspex di IBM e Accelion FTA.

Molti ricercatori affermano che i dipartimenti IT che non hanno installato la patch immediatamente o che utilizzavano versioni non interessate della versione locale o cloud di MOVEit dovrebbero presumere che i loro sistemi siano stati compromessi.

I ricercatori di Huntress Labs hanno affermato che, a partire dal 1 giugno, una scansione del web utilizzando il motore di ricerca Shodan ha suggerito che c'erano oltre 2.500 server pubblicamente disponibili su Internet.

I ricercatori di Huntress hanno creato un exploit che gli ha permesso di ricevere l'accesso alla shell con Meterpreter, passare a NT AUTHORITY\SYSTEM di Windows e far esplodere un payload ransomware Cl0p. "Ciò significa che qualsiasi avversario non autenticato potrebbe innescare un exploit che distribuisce istantaneamente ransomware o esegue qualsiasi altra azione dannosa", concludono i ricercatori. "Il codice dannoso verrebbe eseguito sotto l'utente dell'account di servizio MOVEit moveitsvc, che si trova nel gruppo degli amministratori locali. L'aggressore potrebbe disattivare le protezioni antivirus o ottenere qualsiasi altra esecuzione di codice arbitrario."

I ricercatori di CrowdStrike affermano che la webshell creata da un utente malintenzionato utilizzerà un account utente esistente con livello di autorizzazione "30" o un nuovo nome utente generato casualmente per stabilire una sessione persistente all'interno dell'applicazione MOVEit. Il loro blog contiene istruzioni su come i team di sicurezza informatica possono indagare su una possibile compromissione.

I dati rubati potrebbero essere utilizzati per attacchi di ingegneria sociale o per riscatti, ha osservato Tim West, responsabile dell’intelligence sulle minacce presso WithSecure. Ha osservato che British Airways ha affermato che le informazioni di pagamento dei suoi dipendenti sono state rubate, ma le organizzazioni dovrebbero aspettarsi che la maggior parte dei dati venga riscattata e/o caricata su un sito di fuga di notizie.

Il nostro team esperto di giornalisti e blogger ti offre interviste, video e contenuti coinvolgenti e approfonditi destinati a professionisti IT e dirigenti line-of-business.