# Accellion FTA Exploitation > [!high] FIN11 explorou 4 zero-days em software legado Accellion FTA para roubo de dados de ~100 organizacoes globais > Em dezembro de 2020, o grupo **FIN11** (rastreado como UNC2546 pela Mandiant) explorou quatro vulnerabilidades zero-day encadeadas no **Accellion File Transfer Appliance (FTA)**, um produto legado de transferencia de arquivos com mais de 20 anos de existencia. O ataque comprometeu dados de quase 100 organizacoes em múltiplos setores e paises, com dados vazados no site de extorsao do **Clop ransomware**. A campanha exemplifica o modelo moderno de ataque a software legado amplamente adotado por fornecedores criticos. ## Visão Geral O **Accellion FTA Exploitation** e uma campanha de roubo de dados e extorsao conduzida pelo grupo [[g0085-fin11|FIN11]] (também rastreado como UNC2546 pela Mandiant e associado aos operadores do ransomware [[s0611-clop-ransomware|Clop]]) que se iniciou em meados de dezembro de 2020. O alvo foi o Accellion File Transfer Appliance (FTA), um produto de transferencia de arquivos corporativos com mais de 20 anos no mercado que estava agendado para apósentadoria quando foi comprometido. O modelo de ataque foi engenhoso em sua eficacia: em vez de atacar cada organização individualmente, o grupo identificou quatro vulnerabilidades zero-day encadeadas no produto FTA que era utilizado por centenas de organizacoes como infraestrutura critica de transferencia de arquivos. Ao comprometer o produto centralmente, o grupo obteve acesso simultaneo a dezenas de organizacoes de alto valor - uma abordagem de supply chain direcionada a software legado. A cadeia de ataque nao envolveu implantação de ransomware - apenas roubo de dados seguido de extorsao. Organizacoes que se recusaram a pagar tiveram seus dados públicados no "CL0P^_- LEAKS", o site de vazamento operado pelos afiliados do Clop. Menos de 25 das quase 100 organizacoes comprometidas sofreram "roubo significativo" de dados, segundo a Accellion. A campanha e um caso de estudo critico para a América Latina, onde muitas organizacoes ainda operam software de gestao e transferencia de arquivos legado sem atualizacoes regulares, criando superficies de ataque analogas as que foram exploradas. ## Attack Flow ```mermaid graph TB A["Identificação do Alvo<br/>Organizacoes usando<br/>Accellion FTA legado"] --> B["Exploração CVE-2021-27101<br/>SQL injection via Host header<br/>Acesso inicial ao servidor FTA"] B --> C["Instalacao DEWMODE<br/>Web shell customizada<br/>Acesso persistente ao FTA"] C --> D["Escalada via 3 CVEs<br/>CVE-27102 OS cmd exec<br/>CVE-27103 SSRF / CVE-27104"] D --> E["Exfiltração de Arquivos<br/>DEWMODE navega filesystem<br/>Download de dados criticos"] E --> F["Extorsao UNC2582<br/>Emails ameaçando vazar dados<br/>Link para CL0P LEAKS site"] F --> G["Vazamento Publico<br/>Dados no CL0P LEAKS<br/>Pressao adicional de pagamento"] ``` ## Cronologia ```mermaid timeline title Accellion FTA Exploitation 2020-12-15 : Inicio da campanha - primeira exploração SQL injection 2020-12-23 : Accellion alertada - patch lancado em 72 horas 2021-01-10 : Reserve Bank of New Zealand divulga breach 2021-01-22 : Accellion emite alerta critico - shutdown imediato recomendado 2021-01-25 : Patch para CVE-2021-27102 e CVE-2021-27103 lancado 2021-02-01 : Patch final lancado, migracao para Kiteworks urgida 2021-02-16 : Firma de advocacia Jones Day confirma breach 2021-02-22 : Mandiant publica análise ligando UNC2546 ao FIN11 2021-02-22 : Accellion confirma menos de 100 vitimas de ~300 clientes 2021-03 : Kroger, Singtel, TfNSW entre ultimas vitimas confirmadas ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2021-27101 SQL injection como vetor inicial | | Persistence | Web Shell | [[t1505-003-web-shell\|T1505.003]] | DEWMODE web shell para acesso persistente ao FTA | | Execution | Command and Scripting | [[t1059-command-scripting-interpreter\|T1059]] | Comandos OS executados via CVE-2021-27102 e 27104 | | Collection | Data from Local System | [[t1005-data-from-local-system\|T1005]] | DEWMODE navega e baixa arquivos do servidor FTA | | Exfiltration | Exfiltration Alt Protocol | [[t1048-exfiltration-alternative-protocol\|T1048]] | Dados exfiltrados via canal C2 do DEWMODE | ## CVEs Exploradas | CVE | Tipo | Impacto | |-----|------|---------| | [[cve-2021-27101\|CVE-2021-27101]] | SQL Injection via Host header | Vetor de acesso inicial - critico | | [[cve-2021-27102\|CVE-2021-27102]] | OS command execution via web service local | Escalada de privilegios - critico | | [[cve-2021-27103\|CVE-2021-27103]] | SSRF via POST request | Reconhecimento e pivot - critico | | [[cve-2021-27104\|CVE-2021-27104]] | OS command execution via POST request | Execução de comandos - critico | ## Vitimas Confirmadas - Reserve Bank of New Zealand - primeira organização a divulgar públicamente (Ján 2021) - Jones Day (firma de advocacia americana) - dados legais sensiveis vazados - Kroger (rede de supermercados EUA) - dados de RH, farmacia e clientes (~1% clientes afetados) - Singtel (telecom Singapura) - dados de clientes e parceiros - Transport for New South Wales, Australia - dados de infraestrutura - Flagstar Bank (EUA) - dados de clientes confirmados em CL0P LEAKS (Marco 2021) - Bombardier (aviacao, Canada) - dados tecnicos e de clientes - University of California, Stanford University, Yeshiva University (educação) ## Relevância LATAM e Brasil Embora nenhuma organização brasileira tenha sido confirmada entre as vitimas diretas, a campanha Accellion FTA revela um vetor critico para a América Latina: o uso prolongado de software legado de gestao e transferencia de arquivos corporativos sem suporte ativo. No Brasil, plataformas similares ao Accellion FTA sao amplamente utilizadas em setores financeiro, juridico e governamental, muitas vezes sem ciclos de atualização adequados. Grupos como [[g0085-fin11|FIN11]] e os operadores do [[s0611-clop-ransomware|Clop]] demonstraram disposicao para realizar pesquisa de zero-day em produtos de nicho amplamente adotados - um modelo de ataque diretamente aplicavel ao mercado brasileiro. ## Mitigação **Acoes imediatas (legado Accellion FTA):** - Migrar imediatamente para Kiteworks ou solução equivalente moderna - Revogar acessos e auditar todos os arquivos transferidos no período dez 2020 - mar 2021 **Controles estratégicos:** - Inventariar e eliminar software legado sem suporte ativo de segurança - Implementar [[m1016-vulnerability-scanning|M1016]] - monitoramento continuo de vulnerabilidades em software de terceiros - Adotar segmentacao de rede para isolar sistemas de transferencia de arquivos - Monitorar via [[ds-0015-application-log|DS-0015]] - logs de aplicações em sistemas de file transfer para acesso anomalo ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/accellion-fta-exploited-for-data-theft-and-extortion) Mandiant - Threat Actors Exploit Accellion FTA for Data Theft and Extortion (2021) - [2](https://www.recordedfuture.com/research/dewmode-accellion-supply-chain-impact) Recorded Future - Understanding Accellion FTA Compromise and DEWMODE (2021) - [3](https://www.huntress.com/threat-library/data-breach/accellion-data-breach) Huntress - Accellion Data Breach: What Happened, Impact, and Lessons (2025) - [4](https://thehackernews.com/2021/02/hackers-exploit-accellion-zero-days-in.html) The Hacker News - Hackers Exploit Accellion Zero-Days (2021) - [5](https://kiteworks.com/sites/default/files/trust-center/accellion-fta-attack-mandiant-report-full.pdf) Accellion/Mandiant - FTA Security Assessment Report (2021)