{"id":795546,"date":"2023-06-08T18:22:45","date_gmt":"2023-06-08T18:22:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/clop-ransomware-gang-probablemente-consciente-de-la-vulnerabilidad-de-transferencia-de-moveit-desde-2021\/"},"modified":"2023-06-08T18:22:49","modified_gmt":"2023-06-08T18:22:49","slug":"clop-ransomware-gang-probablemente-consciente-de-la-vulnerabilidad-de-transferencia-de-moveit-desde-2021","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/clop-ransomware-gang-probablemente-consciente-de-la-vulnerabilidad-de-transferencia-de-moveit-desde-2021\/","title":{"rendered":"Clop Ransomware Gang probablemente consciente de la vulnerabilidad de transferencia de MOVEit desde 2021"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">08 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Ransomware \/ D\u00eda Cero<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) han publicado un aviso conjunto sobre la explotaci\u00f3n activa de una falla cr\u00edtica recientemente revelada en la aplicaci\u00f3n MOVEit Transfer de Progress Software para eliminar ransomware.<\/p>\n<p>&#8220;Cl0p Ransomware Gang, tambi\u00e9n conocido como TA505, supuestamente comenz\u00f3 a explotar una vulnerabilidad de inyecci\u00f3n SQL previamente desconocida en la soluci\u00f3n de transferencia de archivos administrada (MFT) de Progress Software conocida como MOVEit Transfer&#8221;, dijeron las agencias. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/06\/07\/cisa-and-fbi-release-stopransomware-cl0p-ransomware-gang-exploits-moveit-vulnerability\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Las aplicaciones web de MOVEit Transfer orientadas a Internet se infectaron con un shell web llamado LEMURLOOT, que luego se us\u00f3 para robar datos de las bases de datos subyacentes de MOVEit Transfer&#8221;.<\/p>\n<p>Desde entonces, la prol\u00edfica banda de ciberdelincuentes <a rel=\"nofollow noopener\" href=\"https:\/\/www.bbc.com\/news\/technology-65829726\" target=\"_blank\">dio un ultim\u00e1tum<\/a> a varias empresas afectadas, inst\u00e1ndolas a ponerse en contacto antes del 14 de junio de 2023, o arriesgarse a que se publiquen todos sus datos robados.<\/p>\n<div class=\"check_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1685807016_716_La-FTC-condena-a-Amazon-con-una-multa-de-308.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Microsoft est\u00e1 rastreando la actividad bajo el nombre de Lace Tempest (tambi\u00e9n conocido como Storm-0950), que tambi\u00e9n ha estado implicado en la explotaci\u00f3n de una vulnerabilidad de seguridad cr\u00edtica en los servidores de PaperCut.<\/p>\n<p>Activo desde al menos febrero de 2019, el adversario se ha relacionado con una amplia gama de actividades en el ecosistema del delito cibern\u00e9tico, incluida la operaci\u00f3n de un ransomware como servicio (RaaS) y la actuaci\u00f3n como afiliado de otros esquemas de RaaS.<\/p>\n<p>Tambi\u00e9n se ha observado que act\u00faa como intermediario de acceso inicial (IAB) para beneficiarse del acceso a redes empresariales comprometidas y tambi\u00e9n como cliente de otros IAB, lo que subraya la naturaleza interconectada del panorama de amenazas.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1686248565_760_Clop-Ransomware-Gang-probablemente-consciente-de-la-vulnerabilidad-de-transferencia.jpg\" alt=\"MOVEit Transferencia Cl0p Ransomware\" border=\"0\" data-original-height=\"983\" data-original-width=\"956\" title=\"MOVEit Transferencia Cl0p Ransomware\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Fuente: Kroll<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>el abuso de <a rel=\"nofollow noopener\" href=\"https:\/\/community.progress.com\/s\/article\/MOVEit-Transfer-Critical-Vulnerability-31May2023\" target=\"_blank\">CVE-2023-34362<\/a>una falla de inyecci\u00f3n de SQL en MOVEit Transfer, es una se\u00f1al de que el adversario busca continuamente exploits de d\u00eda cero en aplicaciones orientadas a Internet y los usa para su beneficio con el fin de extorsionar a las v\u00edctimas.<\/p>\n<p>Vale la pena se\u00f1alar que Cl0p llev\u00f3 a cabo ataques de explotaci\u00f3n masiva similares en otras aplicaciones de transferencia de archivos administrados, como Accellion FTA y GoAnywhere MFT durante el a\u00f1o pasado.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEi6dnStL3Va1fHNrbYYVlvMhM_UHXg-lMoKk70eNCPluLhf_cTW1Yse79knpaE3AWrS_ZyrYbHY8aPFlR7-ugrua_btkymD8ep8GBFy5k-PCQujUrsirGU_Tx2lNnNBZ-XwTf2OYY2ILifzfVI0Imy7CYDi6kTGaAF2sCkDYFn3YHQCZykq8V8mu5Mg\/s728-e3650\/host.jpg\" alt=\"MOVEit Transferencia Cl0p Ransomware\" border=\"0\" data-original-height=\"201\" data-original-width=\"728\" title=\"MOVEit Transferencia Cl0p Ransomware\"\/><\/div>\n<p>Empresa de gesti\u00f3n de superficie de ataque Censys <a rel=\"nofollow noopener\" href=\"https:\/\/censys.io\/moveit-transfer\/\" target=\"_blank\">dicho<\/a> ha observado una ca\u00edda en la cantidad de hosts que ejecutan instancias expuestas de MOVEit Transfer de m\u00e1s de 3000 hosts a poco m\u00e1s de 2600.<\/p>\n<p>&#8220;Varios de estos anfitriones est\u00e1n asociados con organizaciones de alto perfil, incluidas varias empresas de Fortune 500 y agencias gubernamentales estatales y federales&#8221;, se\u00f1al\u00f3 Censys, destacando las finanzas, la tecnolog\u00eda y la atenci\u00f3n m\u00e9dica como los sectores con mayor exposici\u00f3n.<\/p>\n<div class=\"check_two_webinar clear\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n<p class=\"wn-description\">Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">\u00danase a la sesi\u00f3n<\/a><\/div>\n<p><b>kroll<\/b>en un an\u00e1lisis compartido con The Hacker News, dijo que identific\u00f3 actividad que indica que los actores de la amenaza Clop probablemente estaban experimentando con formas de explotar esta falla en particular en abril de 2022 y desde julio de 2021.<\/p>\n<p>El hallazgo es particularmente significativo ya que sirve para ilustrar la experiencia t\u00e9cnica del atacante y la planificaci\u00f3n que se ha llevado a cabo para organizar las intrusiones mucho antes de que comenzara la reciente ola de explotaciones.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhlupZ-L9AXmCon2oCZHiMRI3c0kqv2xq_DkTWwX7IexgfbJqMMA7dyYLgJa9WuOtC5gTG65uDRZyXIazA2f2Oqd-uEyVeaAl--Mjib6YaJFugxxIC3A9O1ha_jcL2dBOTDm9IFtxLOvRFgAjhc8Qt2KdkERIqYyQ3OxmAuv4jPHRuPseKMWgEhRKSn\/s728-e3650\/country.jpg\" alt=\"MOVEit Transferencia Cl0p Ransomware\" border=\"0\" data-original-height=\"384\" data-original-width=\"728\" title=\"MOVEit Transferencia Cl0p Ransomware\"\/><\/div>\n<p>&#8220;Los comandos durante el per\u00edodo de julio de 2021 parec\u00edan ejecutarse durante un per\u00edodo de tiempo m\u00e1s prolongado, lo que sugiere que las pruebas pueden haber sido un proceso manual en ese momento antes de que el grupo creara una soluci\u00f3n automatizada que comenz\u00f3 a probar en abril de 2022&#8221;, dijo Kroll.<\/p>\n<p>Se dice que la explotaci\u00f3n de julio de 2021 se origin\u00f3 a partir de una direcci\u00f3n IP (45.129.137[.]232) que se atribuy\u00f3 previamente al actor de Cl0p en relaci\u00f3n con los intentos de explotar fallas en el producto SolarWinds Serv-U casi al mismo tiempo.<\/p>\n<p>&#8220;Esta es la tercera vez que el grupo de ransomware Cl0p usa un d\u00eda cero en aplicaciones web para extorsionar en tres a\u00f1os&#8221;, dijo el investigador de seguridad Kevin Beaumont. <a rel=\"nofollow noopener\" href=\"https:\/\/cyberplace.social\/@GossiTheDog\/110490698533552783\" target=\"_blank\">dicho<\/a>.  \u201cEn los tres casos eran productos con seguridad en la marca\u201d.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/clop-ransomware-gang-likely-exploiting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80208 de junio de 2023\ue804Ravie Lakshman\u00e1nRansomware \/ D\u00eda Cero La Agencia de Seguridad de Infraestructura y Ciberseguridad de<\/p>\n","protected":false},"author":1,"featured_media":795547,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,144921,4664,36677,2479,4662,5086,4668,4667,166142,4654,4658,4659,4653,4655,643,4663,4883,4666,4665,4525,4014,4660],"class_list":["post-795546","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-clop","tag-como-hackear","tag-consciente","tag-desde","tag-filtracion-de-datos","tag-gang","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-moveit","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-probablemente","tag-programa-malicioso-ransomware","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-transferencia","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/795546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=795546"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/795546\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/795547"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=795546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=795546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=795546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}