O sistema de transporte do estado australiano New South Wales (NSW) teve dados vazados depois que o ransomware Clop atingiu um software de transferência de arquivos da Accellion, fornecedora norte-americana de serviços em nuvem.
- Assolando brasileiros desde 2018, trojan bancário Vadokrist evolui e preocupa pesquisadores
- Malware misterioso encontrado em 30 mil Macs confunde pesquisadores de segurança
- Kia sofre ataque de ransomware DoppelPaymer
A Transport for NSW, é uma empresa estatal, responsável por toda frota de ônibus, balsas, transporte aéreo e transporte de cargas do estado. A empresa utiliza o Accellion FTA para transferências de arquivos internamente.
O vazamento de dados foi informado pela própria empresa, em um comunicado publicado na terça-feira (23/02). Segundo a Transport for NSW, o vazamento de dados está diretamente relacionado ao servidor da Acellion e nenhum outro sistema da Transport for NSW foi invadido.
"Essa violação foi limitada aos servidores Accellion. Nenhum outro sistema da Transport for NSW foi afetado, incluindo sistemas relacionados a informações de carteira de motorista", escreve a empresa.
A equipe de cibersegurança do estado de NSW já está investigando o caso. "Cyber Security NSW está gerenciando a investigação do governo de NSW com a ajuda de especialistas forenses. Estamos trabalhando em estreita colaboração com a Cyber Security NSW para entender o impacto da violação, inclusive nos dados do cliente".
Ransomware Clop
De acordo com a FireEye, em dezembro de 2020, cibercriminosos exploraram várias vulnerabilidades zero day no software de transferência de arquivos, o Accellion FTA, para acessar e roubar dados de seus usuários.
"Em dezembro de 2020, agentes maliciosos (UNC2546) [...] exploraram várias vulnerabilidades zero day no File Transfer Appliance (FTA) legado da Accellion para instalar um shell recém-descoberto chamado DEWMODE. A partir do final de janeiro de 2021, várias organizações que foram impactadas pelo UNC2546 no mês anterior começaram a receber e-mails de extorsão de atores que ameaçavam publicar dados roubados no site 'CL0P ^ _- LEAKS' .onion", escrevem os pesquisadores da FireEye.
O Accelion FTA é um software muito utilizado por instituições governamentais, universidades e empresas que precisam compartilhar dados com outras empresas ou clientes, o que o torna uma solução muito atrativa para cibercriminosos.
De acordo com o Bleeping Computer, mais de 100 empresas (clientes) podem ter sido comprometidas no ataque a Accelion. As empresas comprometidas são usuários do Accelion FTA. Um ataque muito parecido com o ataque à cadeia de suprimento da SolarWinds.
A rede de supermercados Kroger, a Singtel, QIMR Berghofer Medical Research Institute, Reserve Bank of New Zealand, Australian Securities and Investiments Comission, Office of the Washington State Auditor, ABS Group, Jones Day, Danaher, Furgo, Universidade do Colorado e o American Bureau of Shipping, estão entre as empresas comprometidas pelo ransomware Clop.
Fontes: Transport for NSW; Accelion; FireEye; Bleeping Computer.