La Comisión de Bolsa y Valores de EE. UU. (SEC) ha iniciado una investigación sobre la violación masiva de la herramienta de transferencia de archivos MOVEit de Progress Software, que ahora se estima que afectó a más de 2.000 organizaciones y expuso los datos personales de alrededor de 64 millones de personas.
Realizada por la operación de ransomware Clop (o Cl0p) a finales de mayo de 2023, la infracción implicó la explotación de una vulnerabilidad de inyección de lenguaje de consulta estructurada de día cero en la herramienta, lo que permitió a la empresa criminal exfiltrar cantidades masivas de datos de una variedad de organizaciones. sin implementar un casillero de ransomware.
Si bien Progress Software posteriormente parchó tres vulnerabilidades separadas en las semanas posteriores al incidente (CVE-2023-34362, CVE-2023-35036 y CVE-2023-35708), las tácticas de exfiltración de Clop significaron que pudo robar una cantidad significativa. cantidad de datos antes de que se implementaran los parches, y utilizar la amenaza de divulgar esos datos para extorsionar a las víctimas.
En una presentación regulatoria, Progress Software dijo que había recibido una citación de la SEC el 2 de octubre «en busca de varios documentos e información relacionados con la vulnerabilidad MOVEit», y agregó que la investigación del regulador en esta etapa se limita a la investigación de hechos.
«La investigación no significa que Progress o cualquier otra persona haya violado las leyes federales de valores, y la investigación no significa que la SEC tenga una opinión negativa de cualquier persona, entidad o valor», escribió. «Progress tiene la intención de cooperar plenamente con la SEC en su investigación».
Según una investigación del proveedor de seguridad Emsisoft, el número actual de organizaciones afectadas por el incidente llegó a 2.547 al 12 de octubre, mientras que el número de personas afectadas alcanzó 64.467.518.
Progress Software confirmó en su presentación que ahora enfrenta docenas de batallas legales como resultado de la violación, incluidas 23 cartas formales de clientes, un número no especificado de las cuales buscan indemnización; un asegurador que entrega una notificación de subrogación solicitando la recuperación de todos los gastos incurridos en relación con la vulnerabilidad; y 58 demandas colectivas presentadas por personas que afirman haber sido afectadas por la exfiltración de datos.
En términos de gastos ya incurridos, la presentación agregó que la vulnerabilidad MOVEit le ha costado a la compañía alrededor de $1 millón hasta ahora, aunque agregó que aún no se conoce el costo total debido a todos los asuntos legales e investigaciones en curso.
“Con respecto al litigio, los procedimientos aún se encuentran en las primeras etapas, los presuntos daños no se han especificado, existe incertidumbre en cuanto a la probabilidad de que una clase o clases sean certificadas o el tamaño final de cualquier clase si se certifica, y existen importantes Cuestiones fácticas y jurídicas que deben resolverse”, dijo.
“Además, cada una de las consultas e investigaciones gubernamentales mencionadas anteriormente podría resultar en sentencias adversas, acuerdos, multas, sanciones u otras resoluciones, cuyo monto, alcance y oportunidad podrían ser materiales, pero que actualmente no podemos predecir. Por lo tanto, no hemos registrado un pasivo de contingencia por pérdidas por la vulnerabilidad MOVEit al 31 de agosto de 2023”.
Progress Software agregó que espera incurrir en costos adicionales de 4,2 millones de dólares relacionados con un incidente de seguridad cibernética separado en noviembre de 2022, aunque no hay detalles sobre este incidente aparte de que la empresa lo revelará el próximo mes.
Un portavoz de Progress Software dijo a TechCrunch que el incidente de noviembre de 2022, en el que la empresa permaneció en pleno funcionamiento en todo momento, no estaba relacionado con ninguna «vulnerabilidad de software informada recientemente».
Hablando con Recorded Future News, el analista de amenazas de Emsisoft, Brett Callow, quien ha seguido la situación desde que se dio a conocer por primera vez en mayo, dijo que era muy probable que Clop y otros actores de amenazas usaran los datos exfiltrados para lanzar más ataques cibernéticos contra otras organizaciones, incluidas Ataques de phishing y compromiso de correo electrónico empresarial.
Continuar leyendo: La SEC de EE.UU. inicia una investigación sobre la violación masiva de MOVEit