Actualmente es muy difícil que una empresa pueda desarrollar toda la infraestructura tecnológica necesaria para su operación, por lo que es imprescindible adquirir software o servicios en la nube de terceros para cubrir acciones específicas de la operación de la empresa. Un ejemplo podría un sistema para contabilidad o nómina de empleados, el cual la mayoría de las empresas utiliza para simplificar su operación. Otro ejemplo es el software usado para transferencia de archivos, que es usado por muchas organizaciones para tener información disponible en cualquier lugar y en cualquier momento.

El problema es cuando estos servicios en la nube contienen información confidencial se convierten en el objetivo de ataques realizados por actores de amenaza sofisticados. Por ejemplo, el peligroso grupo de amenazas Cl0p, conocido por exfiltrar información y desplegar ransomware a sus víctimas, ha realizado ataques para robar información en contra de los siguientes programas de transferencia de archivos, mediante vulnerabilidades de día cero:

• Mayo, 2023: MOVEit (CVE-2023-34362, CVE-2023-35036 y CVE-2023-35708)
• Abril, 2023: PaperCut (CVE-2023-27350 y CVE-2023-27351)
• Febrero, 2023: GoAnywhere MFT (CVE-2023-0669)
• Diciembre, 2020: Accelion FTA (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 y CVE-2021-27104)

Durante el primer semestre de 2023, BBC y British Airways se vieron afectadas de manera indirecta por los ataques del ciberactor Cl0p, debido a que emplean a la empresa de servicios Zellis para procesar su nómina, que sufrió robo de información en un ataque a MOVEit por dicho grupo.

SCILabs recomienda buscar prestadores de servicios informáticos especializados confiables, que cumplan con normas y marcos de referencia de seguridad informática en el tratamiento de la información y los accesos, además, que tengan certificaciones para demostrarlo y cumplan con las regulaciones establecidas en la protección de datos.

También, se recomienda contar con un equipo o servicio de inteligencia de amenazas para mantener una visión actualizada del panorama que ayude a estar mejor preparados al momento de enfrentar un incidente.

Fuentes:

https://www.bleepingcomputer.com/news/security/global-accellion-data-breaches-linked-to-clop-ransomware-gang/

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-131a

https://techcrunch.com/2023/03/22/fortra-goanywhere-ransomware-attack/

https://threatpost.com/accellion-zero-day-attacks-clop-ransomware-fin11/164150/