CIBERATAQUE EN PROVEEDORES: EL CASO ACCELLION
CIBERATAQUE EN PROVEEDORES: EL CASO ACCELLION
No hay mes en el que no se publiquen noticias sobre nuevos ciber ataques a entidades.
Hace menos de un mes veíamos como se le exigía un rescate a una conocida empresa de telefonía para no filtrar los datos de sus clientes obtenidos con un ransomware Babuk y como al no pagarlo, los datos de 13 millones de clientes fueron filtrados. También veíamos como las entidades públicas eran otro objetivo de hackers como en el caso de una universidad de Castila-La Mancha en el que un ciberataque de tipo ransomware Ryuk cifró servidores y bases de datos o el caso de los ataques contra las páginas web de los ministerios de Justicia, Educación y Economía y del Instituto Nacional de Estadística (INE).
Pero hay que prestar especial atención a los ataques a proveedores de servicios porque terminan provocando un efecto dominó al propagar los daños a numerosas entidades como es el caso del proveedor Accellion.
Nuestros compañeros de BDO Israel Ophir Zilbiger, Noam Hendruker y Tommy Babel han publicado al respecto el documento “Cyber Threat Intelligence Report: Third Party Attack Accellion”.
En este informe se contextualiza como Accellion es una empresa de software especializada en soluciones de seguridad de la información para compartir archivos (con clientes especialmente importantes del área gubernamental, financiero, sanitario, jurídico y de educación superior) y como en diciembre de 2020 unos hackers explotaron el software Legacy File Transfer Appliance (FTA) de Accellion (aprovechando una vulnerabilidad zero-day de inyección SQL) para robar los datos de sus victimas. Los hackers informáticos amenazaron a las víctimas con filtrar sus datos al mejor postor si se negaban a pagar el rescate. La brecha afectó a unas 100 organizaciones de Estados Unidos, Canadá, Australia, Singapur y los Países Bajos.
En el documento se reseñan los siguientes casos en los que clientes de Accellion se vieron afectados por ataques a dicho software:
- New Zealand Central Bank
En el caso del Banco Central de Nueva Zelanda, se informó a principios de enero de este año de un incidente de filtración de datos. Los hackers explotaron el servidor de transferencia de archivos Legacy FTA de Accellion para comprometer los sistemas del banco. Aunque la filtración fue contenida, el Gobernador del Banco Central declaró que aún existe la posibilidad de que los datos sensibles de los empleados del Banco y de los clientes fuesen comprometidos.
- Australian Securities and Investments Commision
Por su parte, la Comisión Australiana de Valores e Inversiones (ASIC) reveló que había sufrido una violación de datos causada por un grupo de atacantes en el servidor de Accellion. A mediados de enero de este año, una filtración de datos hizo que ASIC suspendiera el acceso al servidor de Accellion y lo sustituyera temporalmente por otro servidor. Se obtuvo acceso a la base de datos de la ASIC, que contiene información actual e histórica sobre transacciones y contratos de muchas australianas.
- Washington’s State Auditor office
En lo que respecta a la oficina del Auditor del Estado de Washington, reveló el 1 de febrero que unos hackers habían puesto en peligro un servidor de Accellion's Legacy FTA. Entre los datos comprometidos se encontraba la información personal de aproximadamente un millón de solicitantes de empleo, así como números de la seguridad social, números de cuentas bancarias, informes de auditoría a autoridades locales y agencias gubernamentales, fotocopias de documentos de identidad y registros de adopción.
- QIMR Berghofer Medical Research Institute
También fue afectado el Instituto de Investigación Médica QIMR Berghofer que reveló que sufrió una filtración de datos relacionada con el servicio FTA de Accellion, que se utilizaba para recibir datos de ensayos clínicos sobre el virus de la malaria. Los hackers robaron más de medio terabyte de datos del servidor, incluida la fecha de nacimiento, la edad, el sexo y el grupo étnico de los participantes en el ensayo.
- Singtel Telecommunication
Tampoco se libró la empresa de telecomunicaciones Singtel ya que anunció a principios de este año que se había producido una violación de datos tras el robo de archivos de su red corporativa. Los hackers utilizaron una vulnerabilidad en un programa informático de Legacy FTA para vulnerar la red de la empresa y robar los datos personales de más de 130.000 clientes, incluidos los nombres completos, los números de la seguridad social, las fechas de nacimiento, los números de teléfono y las direcciones. La empresa informó de que sus principales sistemas operativos no se vieron afectados por la filtración.
- Colorado University
Otro de los afectados resultó ser la Universidad de Colorado que informó que uno de sus campus sufrió una violación de datos como resultado de la explotación de una vulnerabilidad en el software Legacy FTA de Accellion. El departamento de TI de la Universidad consiguió contener la brecha utilizando la actualización de seguridad de Accellion y restaurando los archivos en una máquina virtual.
- Jones Day Law Firm
Por otra parte, un ataque de ransomware afectó al bufete internacional de abogados Jones Day. El grupo de ransomware Clop accedió a 100 GB de datos del bufete aprovechando una vulnerabilidad del software Legacy FTA de Accellion. Se filtraron muestras de datos en el blog del atacante como prueba.
- Transport for NSW and NSW Health
La vulnerabilidad del software Legacy FTA de Accellion también afectó a la empresa de transportes del distrito de Nueva Gales del Sur, Transport for NSW y a su corporación sanitaria, NSW Health. Afirmaron que sólo se vio afectado el servidor de Accellion; los demás sistemas no se vieron afectados.
- The Information Security – Qualys
Qualys, una empresa de InfoSec, tampoco se libró de sufrir una violación de datos debido a la explotación de una vulnerabilidad de seguridad zero-day en el software Legacy FTA de Accellion que permitió a los atacantes robar archivos. En su blog, el grupo de ransomware Clop publicó capturas de pantalla de los archivos de la empresa, incluyendo órdenes de compra, facturas, documentos fiscales e informes escaneados. El entorno interno del producto de Qualys no se vio comprometido, ya que el servidor estaba separado de la red interna de la empresa.
- Giant Supermarket Firm Kroger
En el caso del gigante de los supermercados Kroger, reveló que había sufrido una violación de datos. Los atacantes explotaron una vulnerabilidad en el software Legacy FTA de Accellion, robando archivos sensibles. Kroger declaró que los datos de pago y crédito no se vieron afectados por el ataque, sin embargo, la brecha reveló datos de recursos humanos y registros farmacéuticos.
- Canadian Aircraft Manufacturer – Bombardier
Por su parte el fabricante canadiense de aeronaves Bombardier, dijo que había sufrido una brecha de seguridad después de que los operadores del ransomware Clop filtraran parte de sus datos. El incidente se produjo en una de las sedes de la empresa en Costa Rica, y afectó a la información personal de 130 empleados, así como a datos clasificados relativos a clientes, proveedores y especificaciones técnicas y alertas del sistema de control GlobalEye
En concreto se puede ver como el ataque contra Accellion pone de manifiesto que:
- Los hackers invierten el tiempo y el esfuerzo necesarios para rastrear las vulnerabilidades de la red corporativa, e investigan las vulnerabilidades incluso entre los proveedores de seguridad de la información.
- El sector de la seguridad de la información no es inmune a las vulnerabilidades y puede ser atacado como otros sectores.
Finalmente se resalta la importancia de gestionar el riesgo en terceros para identificar las amenazas y riesgos a los que están expuestos a través de sus proveedores ya que los hackers se esfuerzan por encontrar el eslabón más débil de los terceros para ejecutar el ataque contra su objetivo final y cuantos más proveedores y contratistas tenga la organización, más vulnerable será a los ataques.
Este proceso de gestión de riesgo en proveedores es especialmente crítico para las empresas de servicios tecnológicos y necesitan gestionar su compromiso con sus proveedores cuando se trata de la seguridad de la información:
- La organización debe exigir a sus proveedores y contratistas el mismo nivel de seguridad de la información que en sus propios entornos.
- La organización necesita supervisar los riesgos de seguridad de su proveedor de forma rutinaria.
- La organización necesita saber quiénes son los proveedores de los terceros.
- El proveedor debe denegar el acceso a los datos de la organización que sean irrelevantes para la interacción diaria con los clientes.
- Cuando se produce un ciberincidente, es crucial una estrecha colaboración con los proveedores para minimizar los daños bilaterales.
Sin duda seguiremos viendo noticias de ciber ataques (porque las amenazas solo van a más) pero esperemos que las entidades tomen conciencia sobre la importancia de gestionar el riesgo en su cadena de suministro, lo vulnerables que son ante ataques en sus proveedores y tomen medidas al respecto.