MOVEit: la exfiltración masiva de Cl0p

El titular

Junio de 2023. El grupo de ransomware Cl0p anuncia que ha robado datos de cientos de organizaciones explotando una vulnerabilidad zero-day en MOVEit Transfer, un software de transferencia segura de archivos de Progress Software. No han cifrado nada. Solo han robado. Y tienen una lista de víctimas que crece cada día.

Es el ataque de exfiltración masiva más grande de la historia. Más de 2,500 organizaciones afectadas. Más de 67 millones de personas cuyos datos fueron robados.

Cómo ocurrió

MOVEit Transfer

MOVEit Transfer es un software de MFT (Managed File Transfer) usado por organizaciones para enviar archivos de forma segura. Gobiernos, bancos, aseguradoras, universidades y empresas lo usan para transferir datos sensibles: nóminas, datos de pacientes, información financiera.

CVE-2023-34362: SQL injection

Cl0p descubrió (o compró) un zero-day de SQL injection en la interfaz web de MOVEit Transfer. El exploit permitía ejecutar comandos en el servidor sin autenticación.

La cadena: SQL injection → ejecución de comandos → webshell (LEMURLOOT) → exfiltración de datos.

Explotación masiva y automatizada

Cl0p no atacó víctima por víctima. Automatizó la explotación: escaneó Internet buscando instancias de MOVEit Transfer expuestas, explotó la vulnerabilidad en cada una, y extrajo los datos almacenados. Todo en un periodo concentrado de pocos días (finales de mayo 2023), antes de que Progress Software publicara el parche.

Sin cifrado, solo extorsión

A diferencia del ransomware tradicional, Cl0p no cifró nada. Solo robó datos. Luego publicó las víctimas en su leak site y les dio un plazo para contactar y negociar. Si no pagaban, publicaba los datos.

Esta evolución del modelo (de cifrado+extorsión a solo extorsión) es más eficiente para el atacante: no necesita desplegar ransomware, no necesita gestionar decryptors, y el impacto reputacional de la publicación de datos es suficiente presión.

Víctimas notables

Organización	Datos robados	País
Shell	Datos de empleados	Global
British Airways	Datos de empleados	UK
BBC	Datos de empleados	UK
US Dept. of Energy	Datos no clasificados	EEUU
Johns Hopkins	Datos de pacientes y empleados	EEUU
Genworth Financial	2.5M clientes	EEUU
CalPERS	769K jubilados	EEUU
Louisiana OMV	6M licencias de conducir	EEUU
Oregon DMV	3.5M licencias	EEUU

El efecto cascada

Muchas víctimas no usaban MOVEit directamente: eran clientes de proveedores de servicios (nóminas, RRHH, seguros) que sí usaban MOVEit. Una empresa de nóminas comprometida significaba datos de todos sus clientes corporativos comprometidos. El efecto cascada multiplicó el número de víctimas.

Las lecciones

1. La extorsión evoluciona

Cl0p demostró que no necesitas cifrar para extorsionar. El robo de datos y la amenaza de publicación son suficientes. Las defensas centradas en prevenir cifrado (backups, EDR anti-ransomware) no protegen contra exfiltración pura.

2. Los zero-days en MFT son oro

Software de transferencia de archivos como MOVEit, Accellion, GoAnywhere contiene los datos más sensibles de las organizaciones. Un zero-day en este tipo de software da acceso directo a los datos que más valen. Cl0p había explotado Accellion FTA en 2021 y GoAnywhere MFT en enero 2023 antes de MOVEit.

3. La exposición a Internet importa

Las instancias de MOVEit Transfer expuestas a Internet eran detectables con Shodan. Minimizar la superficie de exposición de software que maneja datos sensibles debería ser prioridad.

4. El parche no arregla la exfiltración pasada

Progress Software publicó el parche rápidamente. Pero los datos ya habían sido robados. El parche cierra la puerta, pero no recupera lo que salió por ella.

Estado actual

Cl0p: sigue activo, con MOVEit como su operación más exitosa. Progress Software: parcheó y enfrentó demandas colectivas. MOVEit: sigue en uso pero con escrutinio de seguridad aumentado. Las víctimas: notificaciones de breach, monitorización de crédito para millones de afectados, y demandas legales en curso.