Funcionarios estadounidenses dijeron el jueves que un grupo de ransomware ruso obtuvo acceso a datos de agencias federales, incluido el Departamento de Energía, en un ataque que explotó el software de transferencia de archivos para robar y vender los datos de los usuarios.
Jane Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, describió la brecha como en gran parte “oportunista” y no se centró en “información específica de alto valor” ni dañó ataques cibernéticos anteriores contra agencias gubernamentales de EE. UU.
“Si bien estamos muy preocupados por esta campaña, esta no es una campaña como SolarWinds que representa un riesgo sistémico”, dijo Easterly a los periodistas el jueves, refiriéndose al hackeo masivo que afectó a varias agencias de inteligencia de EE. UU. en 2020.
El Departamento de Energía dijo el jueves que los registros de dos entidades dentro del departamento estaban comprometidos y que había notificado al Congreso y a CISA sobre la infracción.
“El Departamento de Energía tomó medidas inmediatas para evitar una mayor vulnerabilidad”, dijo Chad Smith, subsecretario de prensa del DOE.
Los representantes del Departamento de Estado y el FBI se negaron a comentar si sus agencias se vieron afectadas.
De acuerdo con una evaluación de los investigadores de CISA y el FBI, dijo Easterly, el ataque fue parte de una operación de ransomware más grande llevada a cabo por Clop, una banda rusa de ransomware que explotó una vulnerabilidad en MOVEit y atacó a una variedad de gobiernos locales, universidades y empresas.
A principios de este mes, funcionarios gubernamentales de Illinois, Nueva Escocia y Londres revelaron que se encontraban entre los usuarios de software afectados por el ataque. British Airways y la BBC dijeron que se vieron afectados por la brecha. La Universidad Johns Hopkins, el Sistema Universitario de Georgia y el gigante europeo del petróleo y el gas Shell emitieron declaraciones similares con respecto al ataque.
Un alto funcionario de CISA dijo que solo una pequeña cantidad de agencias federales se vieron afectadas, pero se negó a decir cuáles se vieron afectadas. Pero el funcionario agregó que los informes iniciales del sector privado indicaron que al menos varios cientos de empresas y organizaciones se vieron afectadas. El funcionario habló bajo condición de anonimato para discutir el ataque.
Según los datos recopilados por GovSpend, MOVEit ha sido comprado por varias agencias gubernamentales, incluidas la NASA, el Departamento del Tesoro, Salud y Servicios Humanos, y las armas del Departamento de Defensa. Pero no está claro cuántas agencias lo están usando activamente.
Clop se atribuyó anteriormente la responsabilidad de la ola anterior de violaciones en su sitio web.
El grupo declaró que “no tenía interés” en explotar y eliminar los datos robados de las oficinas gubernamentales o policiales, centrándose únicamente en la información comercial robada.
Robert J. Carey, presidente de la firma de ciberseguridad Cloudera Government Solutions, señaló que los datos robados en ataques de ransomware pueden venderse fácilmente a otros actores ilegales.
“Cualquiera que use esto está potencialmente en riesgo”, dijo, refiriéndose a MOVEit.
CNN informó anteriormente sobre las revelaciones de que las agencias federales también se encontraban entre las afectadas.
Un representante de MOVEit, que es propiedad de Progress Software, dijo que la compañía se ha “comprometido con agencias federales y otras agencias de aplicación de la ley” y “combatirá a los ciberdelincuentes cada vez más sofisticados y persistentes que intentan explotar maliciosamente las vulnerabilidades en productos de software ampliamente utilizados”. La empresa identificó originalmente la vulnerabilidad en su software en mayo, lanzó un parche y CISA la agregó a su catálogo en línea de vulnerabilidades conocidas el 2 de junio.
Cuando se le preguntó sobre la posibilidad de que Klopp estuviera actuando en coordinación con el gobierno ruso, el funcionario de la Agencia de Seguridad Nacional de EE. UU. dijo que la agencia no tenía evidencia que sugiriera tal coordinación.
La violación de MOVEit es otro ejemplo más de agencias gubernamentales que son víctimas del ciberdelito organizado por grupos rusos, ya que las campañas de ransomware dirigidas ampliamente a objetivos occidentales han cerrado repetidamente infraestructura civil crítica, incluidos hospitales, sistemas de energía y servicios de la ciudad.
Históricamente, algunos ataques parecen estar motivados principalmente por motivos financieros, como en el caso de que hasta 1500 empresas en todo el mundo sufrieron un ataque de ransomware ruso en 2021.
Pero en los últimos meses, los grupos de ransomware rusos también se han involucrado en ataques políticos aparentemente con la aprobación tácita del gobierno ruso, apuntando a países que han apoyado a Ucrania desde la invasión rusa del año pasado.
Poco después de la invasión, 27 instituciones gubernamentales en Costa Rica sufrieron ataques de ransomware por parte de otro grupo ruso, Conte, lo que obligó al presidente del país a declarar una emergencia nacional.
Los ataques cibernéticos que se originan en Rusia ya eran un punto de discusión en las relaciones entre Estados Unidos y Rusia antes de la guerra en Ucrania. El tema ocupó un lugar destacado en la agenda de la Casa Blanca cuando el presidente Biden se reunió con el presidente ruso, Vladimir Putin, en 2021.
Un ataque de rescate en uno de los oleoductos de gasolina más grandes de los Estados Unidos por parte de un grupo que se cree que está en Rusia obligó al operador del oleoducto a pagar 5 millones de dólares para recuperar los datos robados solo un mes antes de que Biden y Putin se reunieran. Los investigadores federales dijeron más tarde que recuperaron gran parte del rescate en una operación electrónica.
También el jueves, los analistas de la firma de seguridad cibernética Mandiant identificaron un ataque contra Barracuda Networks, un proveedor de seguridad de correo electrónico, que dijeron que parecía ser parte de un esfuerzo de espionaje chino. La violación también afectó a una variedad de organizaciones gubernamentales y privadas, escribió Mandiant en su informe, incluido el Ministerio de Relaciones Exteriores de la ASEAN y las oficinas de comercio exterior en Hong Kong y Taiwán.