Ciberataques dirigidos contra un producto de Accellion

La empresa Accellion, dedicada a ofrecer soluciones cloud para el intercambio de archivos y colaboración entre empresas de forma segura, ha confirmado un incidente de seguridad relacionado con su producto FTA (File Transfer Aplication) para la transferencia de archivos, al convertirse en el objetivo de múltiples ciberataques sofisticados.

El producto en cuestión, próximo al fin de su vida útil, presentaba una vulnerabilidad 0-Day a mediados del pasado diciembre. Un problema que Accellion solucionó de inmediato e informó de ello a sus clientes. Sin embargo, los ciberdelincuentes han seguido desarrollando exploits hasta este pasado enero.

Se trata de un producto utilizado por diversas entidades a nivel mundial, las cuales se han visto afectadas sufriendo accesos no autorizados a sus datos. Entre ellas se encuentran hasta ahora: la Oficina del Auditor de Washington (SAO), la Comisión Australiana de Valores e Inversiones (ASIC), el Banco de la Reserva de NZ, la Escuela de Negocios de Harvard (HBS), [Actualización 16/02/2021] Singtel, QIMR Berghofer Medical Research Institute, [Actualización 22/02/2021] Kroger, [Actualización 23/02/2021] Transport for NSW, [Actualización 24/02/2021] Bombardier [Actualización 05/03/2021] Qualys, [Actualización 08/03/2021] y Flagstar Bank.

Actualmente, Accellion mantiene mecanismos de monitorización y alerta ante nuevos ciberataques relacionados con su producto, y por otra parte, insiste en que sus clientes migren a su otro producto, más seguro y no afectado por el incidente, kiteworks.

[Actualización 24/02/2021]

Accellion ha publicado algunas conclusiones sobre la investigación realizada por Mandiant, una división de FireEye, por la que se ha identificado a UNC2546 como el actor de amenazas detrás de los ciberataques relacionados con el producto heredado FTA.

También se expone que numerosas víctimas han recibido correos electrónicos de extorsión amenazando con publicar sus datos robados en el sitio web “CLOP^_-LEAKS.onion” y que algunos de esos datos parecen haber sido robados utilizando el webshell DEWMODE.

De los 300 usuarios de Accellion, sólo menos de 100 fueron afectados y de estos, menos de 25 parecen haber sufrido un importante robo de datos.

Actualmente se han reservado los identificadores CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 y CVE-2021-27104 para rastrear las vulnerabilidades recientemente parcheadas. Mandiant, por su parte, permanece rastreando la actividad de extorsión subsiguiente bajo otro grupo de amenazas separado, UNC2582.