A empresa de segurança cibernética Qualys é vítima dos “hacks da Accellion”

A empresa de segurança cibernética Qualys é provavelmente a última vítima a sofrer uma violação de dados depois que uma vulnerabilidade de dia zero em seu servidor Accellion FTA foi explorada para roubar arquivos hospedados.

Em dezembro, uma onda de ataques teve como alvo o aplicativo de compartilhamento de arquivos Accellion FTA usando uma vulnerabilidade de dia zero que permitia que invasores roubassem arquivos armazenados no servidor.

Desde então, o Clop ransomware tem extorquido essas vítimas , postando os dados roubados em seu site de vazamento de dados de ransomware.

Como os dispositivos Accellion FTA são servidores autônomos projetados para ficarem fora do perímetro de segurança de uma rede e acessíveis ao público, não houve relatos de ataques a esses dispositivos levando ao comprometimento dos sistemas internos.

Até hoje, as vítimas conhecidas extorquidas por Clop incluem Transport for NSW ,  Singtel , Bombadier , especialista em geodados Fugro, escritório de advocacia Jones Day, empresa de ciência e tecnologia Danaher e empresa de serviços técnicos ABS Group.

Qualys a última vítima a ser extorquida

Ontem, a gangue de ransomware Clop postou capturas de tela de arquivos supostamente pertencentes à empresa de segurança cibernética Qualys. Os dados vazados incluem pedidos de compra, faturas, documentos fiscais e relatórios de digitalização.

Conforme relatado por  Valery Marchive da LegMagIT  e confirmado por BleepingComputer, a Qualys tinha um dispositivo Accellion FTA localizado em sua rede.

O dispositivo Accellion FTA estava localizado em fts-na.qualys.com e o endereço IP usado pelo servidor foi atribuído à Qualys. Desde então, a Qualys descomissionou o dispositivo FTA, com Shodan mostrando que ele estava ativo pela última vez em 18 de fevereiro de 2021.

Não se sabe se Clop enviou notas de resgate para Qualys em relação ao ataque, mas outras vítimas as receberam no passado, de acordo com um  relatório da Mandiant .

Nota de resgate enviada às vítimas da Accellion FTA
Nota de resgate enviada às vítimas da Accellion FTA

Ainda não está claro se a gangue de ransomware Clop executou os ataques a dispositivos Accellion FTA ou está se associando a outro grupo para compartilhar os arquivos e extorquir as vítimas publicamente.

No passado, Clop enviou e-mails a jornalistas, incluindo BleepingComputer, sobre novas vítimas de FTA da Accellion postadas em seu site.

A BleepingComputer entrou em contato com a Qualys antes da publicação e está aguardando uma declaração oficial.

Fonte: https://www.bleepingcomputer.com