No entanto, o incidente do MOVEit os eclipsa, tanto no número de organizações vítimas quanto de indivíduos cujos dados foram comprometidos. Empresa de antivírus A Emsisoft tem rastreado o número de organizações vítimas do MOVEit que declararam publicamente que foram impactadas desde maio. Os pesquisadores analisaram notificações individuais de violação de estados dos EUA, registros na Comissão de Valores Mobiliários dos EUA, divulgações públicas e o próprio site de divulgação do Clop para tabular e reconciliar o verdadeiro número de ataques.
Até o momento, a Emsisoft concluiu que 2.167 organizações foram impactadas pela ampla campanha. O número oscilava em torno de 1.000 nos últimos meses, mas aumentou significativamente quando o Câmara Nacional de Estudantes revelada 890 faculdades e universidades nos EUA – incluindo a Universidade de Harvard e a Universidade de Stanford – foram afetadas pelas violações do MOVEit. As organizações nos EUA representam 88,8% das vítimas conhecidas, de acordo com a Emsisoft, enquanto um punhado de outras organizações na Alemanha, Canadá e Reino Unido também foram expostas pelo Clop e se manifestaram.
De acordo com a análise da Emsisoft, cerca de 1.841 organizações divulgaram violações, mas apenas 189 delas especificaram quantos indivíduos foram afetados pelo incidente. A partir dessas divulgações detalhadas, a Emsisoft descobriu que mais de 62 milhões de indivíduos tiveram seus dados violados como parte da onda MOVEit de Clop. Mas como se estima que existam cerca de 2.000 organizações que não revelaram quantos indivíduos tiveram dados pessoais afetados nas suas violações – e como os investigadores concluíram que existem outras organizações afetadas que não se manifestaram de todo – o verdadeiro total de pessoas cujos dados foram comprometidos é provavelmente ainda maior, possivelmente na escala de centenas de milhões de indivíduos, segundo a Emsisoft.
“É inevitável que existam vítimas corporativas que ainda não sabem que são vítimas e que existam indivíduos que ainda não sabem que foram impactados”, diz Brett Callow, analista de ameaças da Emsisoft. “O MOVEit é especialmente significativo simplesmente devido ao número de vítimas, quem são essas vítimas, à sensibilidade dos dados obtidos e à multiplicidade de formas como os dados podem ser utilizados.”
Austin, da Censys, diz que as ferramentas de transferência de arquivos são, por natureza, um “alvo fantástico” para os cibercriminosos. O objetivo das ferramentas é gerenciar e compartilhar dados, de modo que esses serviços geralmente recebem grandes volumes de informações confidenciais. BORN Ontario disse em um declaração na semana passada que os dados obtidos na violação eram daqueles “que procuravam cuidados de gravidez e recém-nascidos”. Isso incluiu resultados de testes de laboratório, fatores de risco de gravidez e procedimentos. Nomes, datas de nascimento, números de identificação do governo, como números de Seguro Social, endereços e muito mais, foram comprometidos em outros incidentes do MOVEit.
Embora os grupos cibercriminosos muitas vezes ganhem as manchetes por ataques de ransomware ou extorsão que chamam a atenção, como aqueles contra cassinos, o roubo persistente e implacável, a publicação, a extorsão e o comércio de dados confidenciais de pessoas em orgias como a do MOVEit podem arruinar vidas – uma realidade cumulativa que é muitas vezes ofuscada por incidentes individuais onde os lucros estão em jogo. Hacks em escolas revelaram detalhes de agressões sexuais, alegações de abuso infantil e tentativas de suicídio, com os repórteres da Associated Press muitas vezes não sabem os detalhes foram publicados. Entretanto, violações dos prestadores de serviços de saúde mental expuseram os registos dos pacientes.
Callows diz que suspeita que o lento gotejamento de divulgações relacionadas ao MOVEit “perdurará por anos”. De forma mais ampla, ele e Austin enfatizam que os defensores devem se preparar para que os cibercriminosos continuem a atacar softwares de gerenciamento de dados amplamente utilizados. Como diz Callow, “MOVEIt não é o primeiro aplicativo de transferência de arquivos a ser explorado e provavelmente não será o último”.
Na semana passada, o desenvolvedor do MOVEit, Progress Software divulgou um novo conjunto de vulnerabilidades em uma de suas ferramentas de transferência de arquivos para servidores, conhecida como WS_FTP Server, junto com patches para as falhas. A empresa afirma que “atualmente” não viu evidências de que os bugs estejam sendo explorados ativamente.
