Como resultado de um ataque cibernético massivo explorando uma vulnerabilidade no programa de compartilhamento de arquivos MOVEit, hackers desconhecidos obtiveram dados pertencentes ao serviço de pagamento Zellis, às autoridades da província canadense de Nova Escócia, à British Airways, à emissora BBC e ao varejo Boots corrente.
Os primeiros sinais de exploração ativa da vulnerabilidade foram descobertos em 27 de maio. O ataque é realizado por injeção de SQL, ou seja, a execução de código malicioso na linguagem de consulta estruturada (SQL) contra o banco de dados. Os invasores atacam recursos de nuvem ou plataformas MOVEit dedicadas colocando um shell neles – um shell da web para acesso não autorizado. O shell geralmente é denominado “human2.aspx” ou “human2.aspx.lnk”, mascarado como o arquivo “human.aspx” que é um componente padrão do serviço MOVEit Transfer.
A empresa responsável pelo desenvolvimento do MOVEit, a Progress, fechou a vulnerabilidade apenas no dia 31 de maio, ou seja, quatro dias após o início do ataque. E apenas no último domingo, 4 de junho, a Microsoft informou que o grupo de hackers de língua russa Clop estava por trás do ciberataque. Especialistas em segurança cibernética descobriram que a maioria dos dados é roubada duas horas após o lançamento de uma exploração.
O envolvimento de hackers de língua russa ainda não foi comprovado: nenhuma das vítimas, que inclui pequenas e grandes organizações, ainda não recebeu pedidos de resgate. Além disso, o site de Clop não diz nada sobre a última série de ataques cibernéticos. Os especialistas em segurança cibernética esperam que essas demandas comecem a surgir nos próximos dias ou semanas.