O sistema de transporte do estado australiano de New South Wales (NSW) teve dados vazados depois que o ransomware Clop atingiu o software de transferência de arquivos Accellion, fornecedora norte-americana de serviços em nuvem.
A Transport for NSW, é uma empresa estatal, responsável por toda a frota de ônibus, balsas, transporte aéreo e transporte de cargas do estado. A empresa usa o Accellion FTA para transferências internas de arquivos.
O vazamento de dados foi reportado pela própria empresa, em nota divulgada nesta terça-feira (23/02). De acordo com o Transport for NSW, o vazamento de dados está diretamente relacionado ao servidor Acellion e nenhum outro sistema Transport for NSW foi hackeado.
“Esta violação foi limitada aos servidores Accellion. Nenhum outro sistema Transport for NSW foi afetado, incluindo sistemas relacionados a informações de carteira de motorista”, escreve a empresa.
A equipe de segurança cibernética da NSW já está investigando o caso. “A Cyber Security NSW está gerenciando a investigação do governo de NSW com a ajuda de especialistas forenses. Estamos trabalhando em estreita colaboração com a Cyber Security NSW para entender o impacto da violação, inclusive nos dados do cliente.”
Clop Ransomware
De acordo com a FireEye, em dezembro de 2020, os cibercriminosos exploraram várias vulnerabilidades de dia zero no software de transferência de arquivos, o Accellion FTA, para acessar e roubar dados de seus usuários.
“Em dezembro de 2020, agentes maliciosos (UNC2546) exploraram […] várias vulnerabilidades de dia zero no File Transfer Appliance (FTA) legado da Accellion para instalar um shell recém-descoberto chamado DEWMODE. No final de janeiro de 2021, várias organizações que estavam impactado por UNC2546 no mês anterior começou a receber e-mails de extorsão de atores que ameaçaram publicar dados roubados no site ‘CL0P ^ _- LEAKS’. “, escrevem os pesquisadores da FireEye.
O Accelion FTA é um software amplamente utilizado por instituições governamentais, universidades e empresas que precisam compartilhar dados com outras empresas ou clientes, o que o torna uma solução muito atraente para os cibercriminosos.
De acordo com a Bleeping Computer, mais de 100 empresas (clientes) podem ter sido comprometidas no ataque ao Accelion. Empresas comprometidas são usuárias do Accelion FTA. Um ataque muito parecido com o ataque à cadeia de suprimentos da SolarWinds.
A rede de supermercados Kroger, Singtel, QIMR Berghofer Medical Research Institute, Reserve Bank da Nova Zelândia, Australian Securities and Investiments Commission, Office of Washington State Auditor, ABS Group, Jones Day, Danaher, Furgo, University of Colorado e American Bureau of Expedição, estão entre as empresas comprometidas pelo ransomware Clop.
Fontes: Transport for NSW; Accelion; FireEye; Bleeping Computer.