Morgan Stanley revela una violación de datos resultante de los hacks de Accellion FTA


Un hombre de dibujos animados cruza una caja blanca formada por unos y ceros.

Morgan Stanley sufrió una violación de datos que reveló datos confidenciales de los clientes y se convirtió en la última víctima conocida de piratas informáticos que explotaban una serie de vulnerabilidades ahora parcheadas en Accellion FTA, un servicio de transferencia de archivos de terceros ampliamente utilizado.

Los datos recibidos incluían nombres, direcciones, fechas de nacimiento, números de seguro social y nombres de compañías afiliadas, dijo Morgan Stanley en una carta informada por primera vez por Bleeping Computer. En ese momento, los datos eran propiedad de un proveedor externo llamado Guidehouse, que brinda servicios de administración de cuentas para la empresa de servicios financieros. Los piratas informáticos desconocidos obtuvieron los datos explotando una serie de piratas informáticos que se dieron a conocer en diciembre y enero.

¿Qué tomó tanto tiempo?

Morgan Stanley declaró:

Según Guidehouse, la vulnerabilidad de Accellion FTA que condujo al incidente se corrigió en enero de 2021 dentro de los 5 días posteriores a la disponibilidad del parche. Aunque la persona no autorizada accedió a los datos en ese momento, el proveedor no descubrió el ataque hasta marzo de 2021 y el impacto en Morgan Stanley hasta mayo de 2021, ya que era difícil determinar retrospectivamente qué archivos almacenaban el Accellion FTA. Aparato si el aparato era vulnerable. Guidehouse le ha dicho a Morgan Stanley que no ha encontrado evidencia de que los datos de Morgan Stanley se filtraran más allá del actor de la amenaza.

Los representantes de Guidehouse no respondieron de inmediato a un correo electrónico en el que se preguntaba por qué la empresa tardó tanto en descubrir la infracción, notificar a los clientes y determinar si otros clientes de Guidehouse también estaban comprometidos. Esta publicación se actualizará si hay una respuesta después de la publicación.

Los clientes de Accellion utilizan File Transfer Appliance como una alternativa segura al correo electrónico para enviar archivos de datos de gran tamaño. En lugar de recibir un archivo adjunto, los destinatarios del correo electrónico reciben enlaces a archivos alojados en el FTA que luego se pueden descargar. Aunque el producto tiene casi 20 años y Accellion ha actualizado a sus clientes a un producto más nuevo, el antiguo acuerdo de libre comercio todavía es utilizado por cientos de organizaciones en los sectores de finanzas, gobierno y seguros.

Cl1p Cl0p

Según un estudio encargado por Accellion a la empresa de seguridad Mandiant, los piratas informáticos desconocidos explotaron las vulnerabilidades para instalar un shell web que les proporcionó una interfaz basada en texto para instalar malware y emitir otros comandos en redes comprometidas. Mandiant también dijo que, a menos que pagaran un rescate, muchas de las organizaciones pirateadas recibieron más tarde demandas de chantaje que amenazaban con publicar datos robados en un sitio web oscuro afiliado al grupo de ransomware Cl0p.

La primera actividad detectada en la campaña de piratería fue a mediados de diciembre cuando Mandiant identificó a los piratas informáticos que explotaban una vulnerabilidad de inyección de SQL en el Accellion FTA. El exploit sirvió como primer punto de ataque. Con el tiempo, los atacantes explotaron vulnerabilidades adicionales de FTA para obtener suficiente control para instalar el shell web.

Los investigadores de Mandiant escribieron:

A mediados de diciembre de 2020, Mandiant respondió a varios incidentes en los que se utilizó un shell web llamado DEWMODE para extraer datos de los dispositivos Accellion FTA. El dispositivo Accellion FTA es una aplicación especialmente diseñada que permite a una empresa transferir archivos grandes de forma segura. La actividad de exfiltración ha afectado a empresas de una amplia variedad de sectores y países.

Durante estos incidentes, Mandiant observó el uso compartido de infraestructura y TTP, incluido el uso de dispositivos FTA para proporcionar el shell web DEWMODE. Mandiant señaló que un actor de amenazas común que ahora rastreamos como UNC2546 fue responsable de esta actividad. Si bien aún se están analizando todos los detalles de las vulnerabilidades que se aprovecharon para instalar DEWMODE, la evidencia de múltiples investigaciones de clientes ha mostrado varias similitudes en las actividades de UNC2546.

Otras organizaciones que los investigadores sospechan que pueden haber resultado heridas por las vulnerabilidades incluyen la compañía petrolera Shell, la firma de seguridad Qualys, el distribuidor de gasolina RaceTrac Petroleum, el bufete de abogados internacional Jones Day, el contador del estado de Washington, el banco estadounidense Flagstar, las universidades estadounidenses de Stanford y la Universidad de California y el Banco de la Reserva de Nueva Zelanda.

Las autoridades de Ucrania arrestaron a seis presuntos miembros de Cl0p el mes pasado. Una semana después, el sitio web oscuro utilizado para publicar datos robados por el ransomware Cl0p lanzó nuevos tramos que muestran que un grupo central de miembros todavía estaba activo.

Sin advertencia

Los exploits in-the-wild de las vulnerabilidades del FTA se descubrieron por primera vez a fines de diciembre. Inicialmente, la compañía declaró que había notificado a todos los clientes afectados y solucionado las vulnerabilidades de día cero que hicieron posible el ataque dentro de las 72 horas posteriores a su conocimiento. Más tarde, Mandiant descubrió dos días cero adicionales.

Algunos clientes se han quejado en el pasado de que Accellion tardaba en recibir la notificación de las vulnerabilidades atacadas.

«Confiábamos demasiado en Accellion, el proveedor de la aplicación de transferencia de archivos (FTA), para alertarnos sobre cualquier vulnerabilidad en su sistema», dijeron funcionarios del Banco de la Reserva de Nueva Zelanda en mayo. “En este caso, las notificaciones que nos envió no salieron de su sistema y, por lo tanto, no llegaron al Banco de la Reserva antes de la violación. No hemos recibido ninguna advertencia previa «.

En un comunicado, los funcionarios de Morgan Stanley escribieron: “La protección de los datos de los clientes es de suma importancia y nos la tomamos muy en serio. Estamos en estrecho contacto con Guidehouse y estamos tomando medidas para mitigar los riesgos potenciales para los clientes «.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *