A exploração em massa do MOVEit O software de transferência rapidamente se consolidou como o maior hack do ano até agora. Embora o impacto total do ataque provavelmente permaneça incalculável nos próximos meses, existem agora mais de 1.000 vítimas conhecidas da violação do MOVEit, de acordo com a empresa de segurança cibernética Emsisoft.
Este marco torna a violação do MOVEit não apenas o maior hack de 2023 – mas também um dos maiores da história recente.
As consequências começaram em Maio, quando o Progresso divulgou uma vulnerabilidade de dia zero no MOVEit Transfer, seu serviço gerenciado de transferência de arquivos usado por milhares de organizações em todo o mundo para mover grandes quantidades de dados muitas vezes confidenciais pela Internet. A vulnerabilidade de classificação crítica permitiu que invasores – especificamente o notório ransomware Clop e gangue de extorsão – invadissem os servidores MOVEit Transfer e roubassem dados confidenciais dos clientes armazenados neles.
Desde então, os ataques e ameaças do Clop de publicar os dados roubados caso não receba pagamentos continuaram inabaláveis, assim como o número de organizações de vítimas conhecidas, de indivíduos afetados conhecidos e os custos associados às consequências.
Damos uma olhada no hack em massa do MOVEit pelos números.
60.144.069
Assim como o número de organizações de vítimas conhecidas ultrapassou a marca das 1.000 em 25 de agosto, o número de indivíduos afetados também ultrapassou a marca dos 60 milhões.
Este número, publicado pela Emsisoft, é proveniente de notificações de violação estatal, registros regulatórios da SEC e outras divulgações públicas. A Emsisoft observa que, embora invariavelmente haja alguma sobreposição em termos de indivíduos afetados, o número provavelmente aumentará à medida que mais organizações continuarem a confirmar violações de dados relacionadas ao MOVEit.
83,9%
As organizações sediadas nos EUA representam 83,9% das vítimas corporativas conhecidas do MOVEit, de acordo com pesquisadores da Emisoft. As organizações na Alemanha representam cerca de 3,6% do total de vítimas, seguidas pelas empresas canadianas com 2,6% e as empresas no Reino Unido com 2,1%.
11 milhões
Em Julho, o gigante contratante de serviços governamentais dos EUA Maximus tornou-se a maior vítima da violação do MOVEit depois de confirmar que os hackers acederam a informações de saúde protegidas – incluindo números de Segurança Social – de cerca de 11 milhões de indivíduos. A empresa com sede na Virgínia disse na época que ainda não havia determinado o número exato de indivíduos afetados.
A escala deste incidente é acompanhada de perto pelo compromisso da agência de desemprego do governo francês, Pôle emploi, que confirmou recentemente uma violação que afetou os dados pessoais de até 10 milhões de pessoas. Isto faz da agência francesa a segunda maior vítima conhecida do hack em massa.
Completando a lista das cinco principais vítimas do MOVEit está o Escritório de Veículos Motorizados da Louisiana (6 milhões). Departamento de Política e Financiamento de Saúde do Colorado (4 milhões) e Departamento de Transportes de Oregon (3,5 milhões).
30,86%
Cerca de um terço dos hosts que executavam servidores MOVEit vulneráveis no momento em que os ataques em massa começaram pertenciam a organizações relacionadas a serviços financeiros, de acordo com a empresa de análise de segurança Censys.
O relatório, que analisou 1.400 servidores MOVEit de acesso aberto na internet, constatou que 15,96% dos hosts estavam associados ao setor de saúde, 8,92% estavam vinculados a organizações de tecnologia da informação e 7,5% eram atribuídos a entidades governamentais e militares.
US$ 9.923.771.385
Este é o custo total estimado dos hacks em massa do MOVEit até agora. O número é baseado em Dados IBMque descobriu que a violação média de dados no ano passado custou US$ 165, juntamente com o número de indivíduos confirmados como afetados.
No entanto, conforme observado pela Emsisoft, apenas algumas empresas vítimas relataram até agora o número de indivíduos afetados. A Emsisoft disse que se o número fosse ampliado, o custo seria de pelo menos US$ 65 bilhões até o momento.
2021
Os pesquisadores acreditam que o Clop pode estar aguardando sua exploração do MOVEit já em 2021. A empresa de consultoria de risco norte-americana Kroll disse em um relatório que embora as notícias sobre a vulnerabilidade tenham surgido pela primeira vez no final de maio, os pesquisadores da Kroll identificaram atividades que indicavam que Clop vinha experimentando a exploração dessa vulnerabilidade há quase dois anos.
“Parece que os atores da ameaça Clop concluíram a exploração do MOVEit Transfer no momento do evento GoAnywhere e optaram por executar os ataques sequencialmente em vez de em paralelo”, afirma Kroll.
US$ 10.000.000
O Departamento de Estado dos EUA ofereceu uma recompensa de US$ 10 milhões relacionada a informações sobre o grupo de ransomware Clop depois que registros de várias entidades do departamento foram comprometidos na violação do MOVEit.
O Departamento de Energia confirmou ao TechCrunch que duas de suas entidades estavam entre as violadas.
$ 100.000.000
Este é quanto dinheiro Clop poderia ganhar com a campanha de hacking em massa MOVEit, de acordo com a empresa de recuperação de ransomware Covewarecom essa quantia derivada de apenas um pequeno grupo de vítimas que cederam às exigências dos hackers e pagaram pagamentos de resgate significativos.
“Esta é uma quantia de dinheiro perigosa e surpreendente para um grupo relativamente pequeno possuir. Para contextualizar, este montante é maior do que o orçamento anual de segurança ofensiva do Canadá”, disse Coveware.
Zero
Esta é a quantidade de dados governamentais que Clop afirma possuir sobre serviços governamentais, municipais ou policiais. Em uma postagem em seu site de vazamento na dark web, a gangue disse que “faria a coisa educada” e excluiria todos os dados relacionados ao governo. Clop não forneceu evidências para esta afirmação, nem o TechCrunch foi capaz de verificar sua afirmação. “Temos motivação apenas financeira (sic)”, escreveram os hackers.