7 de diciembre de 2024

Los datos de empleados robados de grandes empresas como Amazon, HP, HSBC y otras mediante la filtración de transferencia MOVEit están a la venta en el mundo digital.

En el mundo digital se pueden comprar datos de empleados de empresas grandes y conocidas. Los afectados incluyen Amazon, HP, HSBC, Lenovo y otros.

La cuenta de usuario “Nam3l3ss” publicó los datos en el foro sobre violaciones el fin de semana. La empresa de seguridad informática 
Hudson Rock informó esto por primera vez en X. 
Allí, los observadores de la escena del malware de vx-underground encontraron la publicación de datos.

vx bajo tierra@vxunderground

Hoy @RockHudsonRock informó que un actor de amenazas que opera bajo el nombre de «Nam3L3ss» afirmó haber comprometido a varias organizaciones grandes a través de un exploit MoveIT 0day. Nam3L3ss actualmente está subastando y/o distribuyendo los datos en el infame foro Breached. Lista de organizaciones supuestamente comprometidas: – Amazon – MetLife – Cardinal Health – HSBC – Fidelity – US Bank – HP – Canada Post – Delta Airlines – Applied Materials (AMAT) – Leidos – Charles Schwab – 3M – Lenovo – Bristol Myers Squibb – Omnicom Group – TIAA – Union Bank of Switzerland (UBS) – Westinghouse – Urban Outfitters (URBN) – Rush University – British Telecom (BT) – Firmenich – City National Bank (CNB) – McDonald’s Organizaciones que hemos confirmado que se han visto comprometidas: – Amazon – HSBC Según los datos revisados, el compromiso para ambas organizaciones tuvo lugar alrededor del 31 de mayo de 2023. Ninguno de los datos (como hemos visto hasta ahora) contiene información del cliente. Los datos de las organizaciones afectadas parecen estar relacionados con recursos humanos y/o contables. No creemos que ninguna de esta información filtrada sea «crítica para la misión», pero debido a que expone aspectos internos de la empresa (empleados, planos de planta, costos), esto todavía representa una amenaza para las organizaciones. tl;dr, no creemos que Nam3L3ss esté jugando. Creemos que este es el verdadero negocio. No estamos seguros de cómo esta persona consiguió el exploit MoveIT 0day, ya que el grupo de ransomware cl0p lo utilizó con frecuencia en el pasado. También fue utilizado brevemente por el grupo de ransomware Lockbit. ¯\_(ツ)_/¯

El actor o actores maliciosos detrás de la cuenta «Nam3l3ss» ofrecen datos sobre empleados de potencialmente más de mil otras empresas en el foro clandestino, incluidas decenas de empresas grandes y conocidas. vx-underground enumera, entre otras, las empresas 3M, Amazon, Applied Materials (AMAT), British Telecom (BT), Canada Post, Cardinal Health, City National Bank (CNB), Delta Airlines, Fidelity, HP, HSBC, Leidos, Lenovo, McDonald’s, TIAA, Union Bank of Switzerland (UBS), US Bank y Westinghouse.

Los expertos en seguridad de vx-underground han confirmado que Amazon y HSBC se vieron comprometidos. De los datos revisados ​​se puede deducir que los datos provienen aproximadamente del 31 de mayo de 2023. “Nam3l3ss” también escribe esto abiertamente en la “oferta” del foro de ladrones de datos. Los datos no parecen contener ninguna información del cliente. Según la entrada del foro clandestino, los datos de Amazon incluyen nombres, números de centros de costos, números de personal, centros de costos, números de teléfono, direcciones de correo electrónico, puesto de trabajo, ciudad, información sobre superiores y similares.

Por lo tanto, los datos están más relacionados con RR.HH. o contabilidad y, por lo tanto, no son “de misión crítica”. Sin embargo, al exponer información interna de la empresa, como empleados, planos de construcción o costes, suponen un peligro. Por ejemplo, en el caso del phishing dirigido, los atacantes pueden hacer un mal uso de esta información para ganarse más rápidamente la confianza de sus víctimas.

Aún no está claro cómo obtuvo “Nam3l3ss” los datos. En el contexto de los conjuntos de datos de Amazon, por ejemplo, la cuenta menciona a la banda de ransomware Cl0p, que aprovechó a gran escala las brechas de seguridad de transferencias de MOVEit para robar datos de numerosas empresas durante el período mencionado.

A principios de junio del año pasado se supo que los atacantes estaban extrayendo datos a través de una vulnerabilidad de transferencia MOVEit. Las primeras actualizaciones estuvieron disponibles allí, pero fueron necesarios varios intentos para cerrar la brecha correctamente. Una banda cibernética llamada 
Cl0p ha robado una gran cantidad de datos de muchas empresas . Entre ellas se incluyen empresas grandes y conocidas como EY, PWC, Schneider Electric y Siemens Energy.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *