2023-05-moveit - RunkIntel

# MOVEit Transfer - Maior Exploração em Massa da História (Maio 2023) > [!danger] 2.700+ Organizações - Maior Evento de Exploração em Massa > Em 27 de maio de 2023 (Memorial Day weekend nos EUA), o grupo [[cl0p]] explorou uma SQL injection zero-day ([[cve-2023-34362|CVE-2023-34362]]) no MOVEit Transfer - software de transferência de arquivos gerenciada usado por governo, bancos, hospitais e empresas Fortune 500. A exploração silenciosa de semanas resultou em **2.700+ organizações comprometidas** e dados de **94 milhões de pessoas** exfiltrados - tudo isso **sem implantar ransomware**, apenas via extorsão de dados. --- ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento MOVEit Identificação de instâncias públicas Shodan / Censys - porta 443/80"] --> B["💉 SQL Injection CVE-2023-34362 Endpoint /human.aspx"] B --> C["🐚 Webshell LEMURLOOT ASPX backdoor implantado %WINDIR%\Temp\"] C --> D["📂 Enumeração de Arquivos Listagem de todos os uploads em todos os tenants"] D --> E["📤 Exfiltração em Massa Azure Blob Storage SFTP para servidor atacante"] E --> F["💸 Extorsão sem Criptografia Deadline: 14 dias Publicação em Cl0p leak site"] F --> G["🌐 Site de Vazamentos cl0p.onion - dados publicados para não-pagadores"] C --> H["🔄 Pivotamento por Tenant MOVEit hospeda múltiplos clientes Um servidor = N organizações"] ``` --- ## Inovação Tática: Extorsão sem Ransomware O ataque MOVEit redefiniu o modelo de extorsão cibernética. O [[cl0p]] não implantou ransomware em nenhuma das organizações comprometidas - a extorsão era **exclusivamente baseada em dados exfiltrados**. Essa mudança de estrategia tem implicações significativas: 1. **Velocidade**: sem criptografia, o ataque é mais rápido e silencioso 2. **Impacto operacional zero**: as vítimas continuam operando normalmente - o que dificulta a detecção 3. **Irreversibilidade**: dados exfiltrados não podem ser "decriptados" - o dano é permanente independente do pagamento 4. **Escalabilidade**: um único zero-day em software multi-tenant atinge N organizações simultaneamente O Cl0p havia testado esse modelo anteriormente com GoAnywhere (GoAnyWhere MFT, CVE-2023-0669, fevereiro 2023) e Accellion FTA (2020-2021), mas o MOVEit foi a execução em maior escala na história. --- ## Alvos de Alto Perfil | Organização | Setor | Dados Expostos | |-------------|-------|----------------| | US Department of Energy | Governo EUA | Contratos e dados de pesquisa | | Shell | Energia | Dados de funcionários | | BBC, British Airways, Boots | Mídia / Varejo UK | Dados de RH de 100.000+ funcionários | | Louisiana Office of Motor Vehicles | Governo EUA | 6 milhões de registros de CNH | | Oregon DMV | Governo EUA | 3,5 milhões de registros | | Johns Hopkins University | Saúde | Dados médicos e financeiros | | Siemens Energy | Energia | Documentos corporativos | | PricewaterhouseCoopers | Consultoria | Dados de clientes | | Ernst & Young | Consultoria | Dados de clientes e auditoria | A natureza multi-tenant do MOVEit Transfer foi amplificadora: provedores de terceirização de RH como **Zellis** (que processava folha de pagamento para BBC, British Airways, Aer Lingus) foram comprometidos, expondo indiretamente centenas de milhares de funcionários de empresas que não usavam MOVEit diretamente. --- ## Timing Estratégico: Memorial Day Weekend O Cl0p executou a exploração durante o **Memorial Day weekend americano (27-29 de maio de 2023)** - maximizando o tempo de operação silenciosa antes que equipes de resposta pudessem reagir. A exploração havia começado silenciosamente **semanas antes**, com o grupo mapeando e exfiltrando dados para quando o zero-day fosse ativado em massa. A Progress Software (desenvolvedora do MOVEit) foi notificada em 31 de maio e públicou patches emergênciais em 1º de junho - mas os dados já haviam sido exfiltrados das organizações comprometidas durante a jánela de exploração. --- ## Resposta da CISA e Internacional A escala do ataque gerou resposta governamental coordenada sem precedentes: - **CISA e FBI** publicaram advisory conjunto (AA23-158A) em 7 de junho - **UK NCSC, CISA, ASD, CCCS** publicaram advisory conjunto multinacional - CISA adicionou [[cve-2023-34362|CVE-2023-34362]], [[cve-2023-35036|CVE-2023-35036]] e [[cve-2023-35708|CVE-2023-35708]] ao KEV - Progress Software lançou 3 patches em 3 semanas conforme novas variantes eram descobertas - CISA criou grupo de trabalho dedicado - "MOVEit Task Force" - com representação de 15 países O Cl0p publicou lista de vítimas progressivamente ao longo de julho-agosto 2023, gerando cobertura mediática contínua e pressão adicional para pagamentos de extorsão. --- ## Impacto para o Brasil e LATAM Empresas brasileiras com presença global e parceiros que utilizavam MOVEit foram afetadas indiretamente. O [[cert-br]] emitiu alerta em 2 de junho e identificou instâncias MOVEit acessíveis públicamente em endereços IP brasileiros. Empresas de consultoria com clientes brasileiros (PwC Brasil, EY Brasil) realizaram notificações preventivas para clientes sobre possível exposição de dados. O evento reforçou a discussão sobre **due diligence de segurança em terceiros** no contexto da LGPD - a lei geral de proteção de dados brasileira. Dados expostos por um fornecedor de RH terceirizado podem configurar violação de obrigações da organização contratante perante a ANPD. --- ## Comparação: Exploração em Massa de MFT | Evento | CVE | Vítimas | Modelo de Extorsão | |--------|-----|---------|-------------------| | Accellion FTA (2020) | CVE-2021-27101 | 100+ | Dados exfiltrados (Cl0p) | | GoAnywhere MFT (2023) | CVE-2023-0669 | 130+ | Dados exfiltrados (Cl0p) | | MOVEit Transfer (2023) | [[cve-2023-34362\|CVE-2023-34362]] | 2.700+ | Dados exfiltrados (Cl0p) | O Cl0p demonstrou especialização em exploração de **Managed File Transfer (MFT)** - uma categoria de software que, por design, concentra transferências de dados sensíveis entre organizações. --- ## Referências CTI | Elemento | Ligação | |----------|---------| | Threat Actor | [[cl0p]] - RaaS / extorsão especializada | | CVE principal | [[cve-2023-34362\|CVE-2023-34362]] - SQL Injection crítico | | CVEs adicionais | [[cve-2023-35036\|CVE-2023-35036]], [[cve-2023-35708\|CVE-2023-35708]] | | Webshell | LEMURLOOT - ASPX backdoor | | Técnica MITRE | [[T1190]] Exploit Public-Facing Application | | Técnica MITRE | [[T1041]] Exfiltration Over C2 Channel | | Nota relacionada | [[2023-06-moveit-zero-day]] | | Evento antecessor | [[2021-12-log4shell]] | | Evento sucessor | [[2023-10-citrix-bleed]] | --- > [!info] Navegação - Eventos Relacionados > [[2021-12-log4shell]] | [[2023-10-citrix-bleed]] | [[cl0p]] | [[cve-2023-34362|CVE-2023-34362]] | [[2023-06-moveit-zero-day]] | [[_timeline]]