Ciberataques dirigidos contra un producto de Accellion
La empresa Accellion, dedicada a ofrecer soluciones cloud para el intercambio de archivos y colaboración entre empresas de forma segura, ha confirmado un incidente de seguridad relacionado con su producto FTA (File Transfer Aplication) para la transferencia de archivos, al convertirse en el objetivo de múltiples ciberataques sofisticados.
El producto en cuestión, próximo al fin de su vida útil, presentaba una vulnerabilidad 0-Day a mediados del pasado diciembre. Un problema que Accellion solucionó de inmediato e informó de ello a sus clientes. Sin embargo, los ciberdelincuentes han seguido desarrollando exploits hasta este pasado enero.
Se trata de un producto utilizado por diversas entidades a nivel mundial, las cuales se han visto afectadas sufriendo accesos no autorizados a sus datos. Entre ellas se encuentran hasta ahora: la Oficina del Auditor de Washington (SAO), la Comisión Australiana de Valores e Inversiones (ASIC), el Banco de la Reserva de NZ, la Escuela de Negocios de Harvard (HBS), [Actualización 16/02/2021] Singtel, QIMR Berghofer Medical Research Institute, [Actualización 22/02/2021] Kroger, [Actualización 23/02/2021] Transport for NSW, [Actualización 24/02/2021] Bombardier [Actualización 05/03/2021] Qualys, [Actualización 08/03/2021] y Flagstar Bank.
Actualmente, Accellion mantiene mecanismos de monitorización y alerta ante nuevos ciberataques relacionados con su producto, y por otra parte, insiste en que sus clientes migren a su otro producto, más seguro y no afectado por el incidente, kiteworks.
[Actualización 24/02/2021]
Accellion ha publicado algunas conclusiones sobre la investigación realizada por Mandiant, una división de FireEye, por la que se ha identificado a UNC2546 como el actor de amenazas detrás de los ciberataques relacionados con el producto heredado FTA.
También se expone que numerosas víctimas han recibido correos electrónicos de extorsión amenazando con publicar sus datos robados en el sitio web “CLOP^_-LEAKS.onion” y que algunos de esos datos parecen haber sido robados utilizando el webshell DEWMODE.
De los 300 usuarios de Accellion, sólo menos de 100 fueron afectados y de estos, menos de 25 parecen haber sufrido un importante robo de datos.
Actualmente se han reservado los identificadores CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 y CVE-2021-27104 para rastrear las vulnerabilidades recientemente parcheadas. Mandiant, por su parte, permanece rastreando la actividad de extorsión subsiguiente bajo otro grupo de amenazas separado, UNC2582.
- 01/02/2021 accellion.com Accellion provides update to recent FTA security incident
- 10/01/2021 incibe-cert.es Ciberincidente en el Banco central de NZ
- 15/01/2021 asic.ov.au Accellion cyber incident
- 04/02/2021 sao.wa.gov About the Accellion data security breach
- 03/02/2021 unaaldia.hispasec.com Filtrados más de un millón y medio de registros de demandantes de empleo en Washington
- 11/02/2021 singtel.com ABOUT ACCELLION FTA SECURITY INCIDENT
- 11/02/2021 qimrberghofer.edu.au QIMR Berghofer investigates suspected Accellion data breach
- 19/02/2021 ir.kroger.com Accellion Security Incident Impacts Kroger Family of Companies Associates and Limited Number of Customers
- 22/02/2021 accellion.com Mandiant Identifies Criminal Threat Actor and Mode of Attacks
- 23/02/2021 transport.nsw.gov.au Transport for NSW impacted by the worldwide Accellion data breach
- 23/02/2021 bombardier.com Bombardier Statement on Cybersecurity Breach
- 23/02/2021 accellion.com Accellion provides update to FTA security incident following Mandiant’s preliminary findings
- 01/03/2021 accellion.com ACCELLION, INC. FILE TRANSFER APPLIANCE (FTA) SECURITY ASSESSMENT
- 03/03/2021 blog.qualys.com Qualys Update on Accellion FTA Security Incident
- 08/03/2021 flagstar.com Flagstar Bank Statement on Accellion Vulnerability