# Clop - Campanha MOVEit Transfer 2023 > [!danger] Exploração massiva de zero-day afeta 2.600+ organizações globais > Entre maio e julho de 2023, o grupo Clop explorou uma cadeia de vulnerabilidades zero-day no software de transferência de arquivos MOVEit Transfer para comprometer mais de 2.600 organizações em todo o mundo, exfiltrando dados confidenciais de agências governamentais, bancos, hospitais e empresas de tecnologia. A campanha se tornou o maior incidente de extorsão por roubo de dados de 2023, afetando mais de 77 milhões de pessoas. ## Visão Geral A campanha MOVEit representa uma evolução tática significativa do grupo [[s0611-clop-ransomware|Clop]] (também rastreado como TA505): em vez do modelo tradicional de ransomware com criptografia de dados, o grupo adotou uma abordagem de **extorsão pura por exfiltração** - comprometer, roubar e ameaçar vazar dados sem nunca criptografar os sistemas da vítima. Isso permite ataques mais rápidos, maior escala e evita os riscos operacionais de implantar e gerenciar ransomware em ambientes corporativos heterogêneos. O vetor central foi a vulnerabilidade [[cve-2023-34362|CVE-2023-34362]], uma falha crítica de injeção SQL no MOVEit Transfer, software de transferência segura de arquivos amplamente utilizado por governos e grandes corporações para compartilhamento de dados sensíveis. O Clop descobriu e explorou esta falha como zero-day, implantando um webshell customizado chamado **LemurLoot** que permitia exfiltração automática de todos os arquivos armazenados no servidor MOVEit. A operação foi notavelmente automatizada: evidências forenses indicam que o grupo pré-posicionou a infraestrutura de exploração semanas antes do lançamento coordenado no Memorial Day (feriado americano). A escala da campanha foi sem precedentes para uma operação de extorsão por dados: mais de 2.600 organizações confirmadas comprometidas, incluindo o governo federal americano (Departamento de Energia, Departamento de Defesa via prestadores), o maior sistema de saúde do Reino Unido (NHS), bancos como Deutsche Bank e ING, e empresas como Shell e Siemens Energy. No Brasil, a Serasa Experian e outras organizações com operações internacionais foram afetadas via instâncias globais do MOVEit. O modelo de extorsão do Clop evitou públicar dados dos governos e focou em empresas privadas com capacidade de pagamento. A CISA e o FBI emitiram alertas conjuntos urgentes em junho de 2023. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Scan de instâncias MOVEit<br/>expostas na internet"] --> B["Exploração CVE-2023-34362<br/>SQLi via parâmetro de sessão<br/>Acesso admin sem autenticação"] B --> C["Deploy do LemurLoot<br/>Webshell .NET customizado<br/>Mascarado como arquivo legítimo"] C --> D["Exfiltração massiva<br/>Todos os arquivos do servidor<br/>Azure Blob Storage como destino"] D --> E["Limpeza de rastros<br/>LemurLoot removido após coleta<br/>Logs apagados"] E --> F["Notificação de vítimas<br/>Email ou publicação no site de vazamento<br/>Demanda de resgate para não vazar"] F --> G["Publicação em lotes<br/>Dados de não-pagantes publicados<br/>semanalmente no site Clop"] ``` ## Cronologia | Data | Evento | |------|--------| | 2023-05-27 | Início da exploração massiva - Memorial Day nos EUA (feriado) | | 2023-06-01 | Progress Software detecta e divulga CVE-2023-34362 - patch disponível | | 2023-06-06 | Clop reivindica a campanha e começa a notificar vítimas | | 2023-06-14 | CISA e FBI emitem advisory conjunto urgente | | 2023-06-15 | Progress divulga CVE-2023-35036 - segunda vulnerabilidade corrigida | | 2023-06-28 | CVE-2023-35708 - terceira vulnerabilidade na cadeia corrigida | | 2023-07 | 2.600+ organizações confirmadas comprometidas; 77M+ pessoas afetadas | | 2023-07 | Clop começa a públicar dados de empresas que não pagaram resgate | | 2024 | Estimativa de danos totais: US$ 12+ bilhões em custos globais | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2023-34362: SQLi no MOVEit Transfer para acesso admin | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | LemurLoot: webshell .NET customizado para persistência | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de todos os arquivos armazenados no servidor MOVEit | | Exfiltration to Cloud Storage | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | Dados enviados para Azure Blob Storage controlado pelos atacantes | | Financial Theft | [[t1657-financial-theft\|T1657]] | Extorsão por ameaça de públicação de dados roubados | ## Impacto A campanha MOVEit foi a operação de extorsão por dados mais impactante de 2023: **Vítimas notáveis:** - Departamento de Energia dos EUA (via prestadores de serviço) - NHS (Sistema Nacional de Saúde do Reino Unido) - dados de pacientes afetados - Shell, Siemens Energy, Deutsche Bank, ING - Teachers Insurance and Annuity Association (TIAA) - dados de 2,6M professores americanos - Aon, Zurich Insurance - dados de clientes segurados - Universidades, hospitais e agências governamentais em 40+ países **Escala:** - 2.600+ organizações comprometidas confirmadas - 77+ milhões de registros de pessoas físicas expostos - Custo estimado total: US$ 12 bilhões em custos de remediação, multas e impacto operacional - O Clop públicou dados de dezenas de empresas que recusaram pagar ## Relevância LATAM e Brasil A campanha MOVEit afetou diretamente operações no Brasil e América Latina: - **Serasa Experian** e outras organizações brasileiras com operações globais foram afetadas via instâncias do MOVEit utilizadas por parceiros internacionais - Empresas de [[financial|serviços financeiros]] com operações regionais que usavam MOVEit para transferência de documentos de compliance foram expostas - O modelo de extorsão pura (sem ransomware) adotado pelo Clop influenciou grupos de ransomware que atuam no Brasil, como aqueles derivados das técnicas do [[ta505]] - O ataque demonstrou a vulnerabilidade de ferramentas de transferência de arquivos amplamente utilizadas no [[technology|setor corporativo brasileiro]] ## Mitigação **Controles técnicos:** - Monitorar e limitar exposição pública de ferramentas de transferência de arquivos corporativos - Aplicar patches de segurança críticos em prazo máximo de 24 horas para sistemas públicos - Implementar monitoramento de integridade de arquivos em servidores MOVEit e similares **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - patch management agressivo para software de transferência de arquivos - Usar [[m1042-disable-or-remove-feature-or-program|M1042]] - remover ou isolar instâncias MOVEit não essenciais da internet pública - Monitorar via [[ds-0015-application-log|DS-0015]] - logs de acesso a aplicações de transferência de arquivos - Implementar [[m1031-network-intrusion-prevention|M1031]] - inspeção de tráfego sainte de servidores de transferência de arquivos ## Referências - [1](https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability) Progress Software - MOVEit Transfer Vulnerability Advisory (2023) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a) CISA/FBI - Advisory AA23-158A: CL0P Ransomware Gang Exploits MOVEit (2023) - [3](https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft) Mandiant - Zero-Day Exploitation of Unauthenticated MOVEit Transfer (2023) - [4](https://unit42.paloaltonetworks.com/clop-actors-target-moveit-transfer-with-zero-day/) Unit 42 - Clop Actors Target MOVEit Transfer with Zero-Day (2023) - [5](https://www.bleepingcomputer.com/news/security/clop-gang-claims-responsibility-for-moveit-extortion-attacks/) BleepingComputer - Clop Gang Claims MOVEit Extortion Attacks (2023) - [6](https://www.emsisoft.com/en/blog/44987/the-impact-of-the-moveit-vulnerability-an-update/) Emsisoft - Impact of MOVEit Vulnerability: Statistics (2023)