Saltar al contenido
Cosas Tecnológicas

Morgan Stanley revela la violación de datos causada por el hackeo de Accellion FTA

Morgan Stanley sufrió una violación de datos que expuso datos confidenciales de los clientes y se convirtió en la última víctima conocida de una serie de vulnerabilidades ahora parcheadas en el servicio de transferencia de archivos de terceros ampliamente utilizado Accellion FTA.

Morgan Stanley dijo en una carta informada por primera vez por Bleeping Computer que los datos obtenidos incluyen nombre, dirección, fecha de nacimiento, número de seguro social y nombres de afiliados. Un servicio de terceros llamado Guidehouse, que brindaba servicios de mantenimiento de cuentas para empresas de servicios financieros, tenía estos datos en ese momento. Los piratas informáticos desconocidos obtuvieron datos aprovechando una serie de ataques de piratería expuestos en diciembre y enero.

¿Por qué tomó tanto tiempo?

Morgan Stanley declaró:

Según Guidehouse, la vulnerabilidad de Accellion FTA que causó este incidente fue parcheada en enero de 2021, dentro de los 5 días posteriores a la disponibilidad del parche. Aunque los datos fueron obtenidos por personas no autorizadas en ese momento, el proveedor no descubrió el ataque hasta marzo de 2021 y no descubrió el impacto en Morgan Stanley hasta mayo de 2021, porque es difícil rastrear para determinar qué archivos se almacenan en el dispositivo Accellion FTA dispositivo cuando es vulnerable. Guidehouse ha notificado a Morgan Stanley que no ha encontrado ninguna evidencia de que los datos de Morgan Stanley se hayan distribuido fuera de los actores de la amenaza.

Un representante de Guidehouse no respondió de inmediato a un correo electrónico en el que se preguntaba por qué la empresa tardó tanto en descubrir la infracción, notificar a los clientes y averiguar si otros clientes de Guidehouse también estaban amenazados. Si hay una respuesta después de la publicación, esta publicación se actualizará.

Los clientes de Accellion utilizan dispositivos de transferencia de archivos como una alternativa segura al correo electrónico que envía grandes archivos de datos. Los destinatarios del correo electrónico no recibirán archivos adjuntos, pero obtendrán enlaces a archivos alojados en el FTA, que luego se pueden descargar. Aunque el producto tiene casi 20 años y Accellion ha estado trasladando a los clientes a productos más nuevos, cientos de organizaciones de los sectores financiero, gubernamental y de seguros todavía utilizan los acuerdos de libre comercio tradicionales.

Cl1p Cl0p

Según la investigación que Accellion encargó a la empresa de seguridad Mandiant, piratas informáticos desconocidos utilizaron estas vulnerabilidades para instalar un shell web, proporcionándoles una interfaz basada en texto para instalar malware y emitir otros comandos en la red infectada. Mandiant también declaró que muchas organizaciones pirateadas posteriormente recibieron solicitudes de rescate y amenazaron con publicar los datos robados en los sitios web oscuros afiliados a la organización de ransomware Cl0p a menos que pagaran un rescate.

La primera actividad detectada en la actividad del pirata informático se produjo a mediados de diciembre, cuando Mandiant descubrió que el pirata informático había explotado la vulnerabilidad de inyección SQL en Accellion FTA. Esta vulnerabilidad se utiliza como punto inicial de intrusión. Con el tiempo, los atacantes explotaron vulnerabilidades adicionales de FTA para obtener el control suficiente para instalar el shell web.

Los investigadores de Mandiant escribieron:

A mediados de diciembre de 2020, Mandiant respondió a múltiples incidentes en los que se utilizó el shell web que llamamos DEWMODE para robar datos de dispositivos Accellion FTA. El dispositivo Accellion FTA es una aplicación especialmente diseñada para permitir a las empresas transferir archivos grandes de forma segura. La actividad de fuga afectó a una amplia gama de sectores y entidades nacionales.

En estos incidentes, Mandiant observó el uso común de infraestructura y TTP, incluida la implementación de shells web DEWMODE con equipos FTA. Mandiant determinó que ahora estamos rastreando a los actores de amenazas comunes como UNC2546 responsable de esta actividad. Aunque todavía se están analizando los detalles completos de las vulnerabilidades utilizadas para instalar DEWMODE, la evidencia de múltiples investigaciones de clientes muestra que las actividades de UNC2546 tienen múltiples puntos en común.

Otras organizaciones que los investigadores sospechan de piratear la vulnerabilidad incluyen la compañía petrolera Shell, la compañía de seguridad Qualys, el minorista de gasolina RaceTrac Petroleum, el bufete de abogados internacional Jones Day, Washington State Auditor, Bank of America Flagstar, American University Stanford University y University of California, y New Banco de la Reserva de Zelanda.

El mes pasado, las autoridades ucranianas arrestaron a seis presuntos afiliados a Cl0p. Una semana después, el sitio web oscuro utilizado para publicar datos robados a través del ransomware Cl0p lanzó una nueva sección que indica que los miembros principales todavía están activos.

Sin aviso previo

La brutal explotación de las vulnerabilidades de los TLC se descubrió por primera vez a fines de diciembre del año pasado. Inicialmente, la compañía declaró que había notificado a todos los clientes afectados y solucionado la vulnerabilidad de día cero que condujo al ataque dentro de las 72 horas posteriores a conocer las vulnerabilidades. Más tarde, Mandiant descubrió dos vulnerabilidades de día cero.

Algunos clientes se han quejado en el pasado de que Accellion tarda en proporcionar notificaciones de vulnerabilidades comprometidas.

Un funcionario del Banco de la Reserva de Nueva Zelanda declaró en mayo: “Confiamos demasiado en Accellion, el proveedor de la aplicación de transferencia de archivos (FTA), para alertarnos sobre cualquier vulnerabilidad en su sistema”. no nos notificaron. Dejar su sistema y por lo tanto no llegar al Banco de la Reserva antes de la violación. No recibimos una advertencia anticipada “.

Un representante de Morgan Stanley escribió en un comunicado: “La protección de los datos de los clientes es de suma importancia y nos lo tomamos muy en serio. Mantenemos un contacto cercano con Guidehouse y estamos tomando medidas para mitigar los riesgos potenciales para nuestros clientes”.