# MOVEit Transfer Campaign > [!danger] Extorsao em Massa - Cl0p Explora Zero-Day MOVEit > **MOVEit Transfer Campaign** afetou mais de **2.000 organizacoes e 60 milhões de individuos** globalmente em 2023. O [[cl0p|Cl0p]] explorou injecao SQL zero-day ([[cve-2023-34362|CVE-2023-34362]]) para implantar o web shell [[lemurloot]] e exfiltrar dados sem criptografar sistemas - modelo extorsao puro. A amplitude da campanha e o número de CVEs encadeados estabeleceram um padrao de ataque a plataformas MFT (Managed File Transfer). ## Visão Geral **MOVEit Transfer Campaign** e uma campanha de extorsao massiva atribuida com alta confiança ao grupo [[cl0p|Cl0p / TA505]], que explorou vulnerabilidades zero-day na solução de transferencia de arquivos MOVEit Transfer da Progress Software. O grupo utilizou injecao SQL ([[cve-2023-34362|CVE-2023-34362]]) para implantar web shells e exfiltrar dados de centenas de organizacoes globalmente. A campanha atingiu organizações dos setores [[government]], [[healthcare]], [[financial]] e [[technology]], com mais de 2.000 organizações e 60 milhões de indivíduos afetados. O modelo de extorsão baseou-se exclusivamente em roubo de dados, sem criptografia de ransomware. **Motivação inferida:** Financeira - extorsão via ameaça de públicação de dados roubados. **Relevância LATAM/Brasil:** Impacto indireto - organizacoes brasileiras que utilizam MOVEit Transfer ou servicos de terceiros afetados podem ter sido expostas. A campanha demonstra o risco crescente de ataques a plataformas MFT (Managed File Transfer). ## Attack Flow ```mermaid graph TB A["🔍 Reconhecimento<br/>Identificação de instancias<br/>MOVEit Transfer publicas"] --> B["💥 CVE-2023-34362<br/>SQL Injection zero-day<br/>no endpoint /guestaccess.aspx"] B --> C["🐚 LEMURLOOT Web Shell<br/>human2.aspx implantado<br/>autenticado via header secreto"] C --> D["📂 Coleta de Dados<br/>Arquivos e metadados<br/>do MOVEit Transfer DB"] D --> E["📤 Exfiltração HTTP<br/>Dados exfiltrados via<br/>web shell HTTPS"] E --> F["🗑️ Anti-Forense<br/>Remoção de logs para<br/>dificultar investigação"] F --> G["💰 Extorsao<br/>Cl0p site de vazamento<br/>ultimato para pagamento"] G --> H{Vitima paga?} H -->|Nao| I["📢 Publicacao de dados<br/>Dados publicados no<br/>site Cl0p - pressao maxima"] H -->|Sim| J["Dados retidos<br/>Sem publicacao confirmada"] ``` ```mermaid gantt title Campanha MOVEit Transfer - Cl0p dateFormat YYYY-MM section Fases Exploração zero-day em massa :2023-05, 2023-06 Divulgacao e patch :2023-06, 2023-06 Extorsao e publicacao de dados :2023-06, 2023-09 Investigacoes e resposta :2023-09, 2023-12 ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2023-05-27 | Início da exploração massiva do CVE-2023-34362 pelo Cl0p | | 2023-05-31 | Progress Software divulga a vulnerabilidade e lança patch | | 2023-06-01 | Mandiant identifica web shell LEMURLOOT em servidores comprometidos | | 2023-06-05 | Cl0p reivindica públicamente a responsabilidade no site de vazamento | | 2023-06-06 | Cl0p pública ultimato para vítimas pagarem resgaté | | 2023-06-09 | Progress Software divulga segundo CVE (CVE-2023-35036) | | 2023-06-15 | CISA e FBI públicam advisory conjunto (AA23-158A) | | 2023-06-15 | Terceiro CVE descoberto (CVE-2023-35708) | | 2023-07-08 | Número de vítimas ultrapassa 200 organizações | | 2023-09 | Campanha de extorsão ativa encerra gradualmente | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observação na Campanha | |--------|---------|-----|------------------------| | Initial Access | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de SQL injection no MOVEit Transfer | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts para automação da exfiltração | | Persistence | Web Shell | [[t1505-003-web-shell\|T1505.003]] | Implantação do web shell LEMURLOOT | | Collection | Data from Information Repositories | [[t1005-data-from-local-system\|T1213]] | Coleta de arquivos armazenados no MOVEit Transfer | | Exfiltration | Exfiltration Over Web Service | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração via web shell HTTP/HTTPS | | Impact | Data Destruction | [[t1485-data-destruction\|T1485]] | Remoção de logs para dificultar investigação | ## Malware e Ferramentas - [[lemurloot]] - web shell .NET (human2.aspx) implantado em servidores MOVEit Transfer; autenticação via header específico - **Ferramentas legítimas abusadas:** SQL injection via interface web, PowerShell para automação ## Alvos e Impacto **Setores alvejados:** - [[government]] - agências federais dos EUA (DOE, HHS) e governos estaduais - [[healthcare]] - hospitais e provedores de seguro saúde - [[financial]] - bancos e instituições financeiras europeias e norte-americanas - [[education]] - universidades e sistemas educacionais **Países com vítimas confirmadas:** - EUA - maior número de vítimas, incluindo agências federais - Canadá, Reino Unido, Alemanha - organizações do setor privado e público **Impacto documentado:** - Mais de 2.000 organizações afetadas globalmente - Dados de aproximadamente 60 milhões de indivíduos expostos - Setores críticos como saúde e governo entre os mais impactados ## Resposta e Mitigação **Ações de resposta documentadas:** - 2023-05-31: Progress Software públicou patch para CVE-2023-34362 - 2023-06-15: CISA e FBI públicaram advisory AA23-158A com IoCs e orientações - 2023-06-15: Progress Software lançou patches para CVEs adicionais - 2023-12: Departamento de Estado dos EUA ofereceu recompensa de US$ 10 milhões por informações sobre Cl0p **Recomendações de mitigação:** - Aplicar patches imediatamente para todas as versões do MOVEit Transfer - Revisar logs de acesso para indicadores de web shell (human2.aspx) - Segmentar servidores MFT em rede isolada - Implementar WAF com regras para SQL injection - Monitorar transferências de arquivos anômalas em volume e horário **Atores:** [[cl0p|Cl0p / TA505]] **CVEs explorados:** [[cve-2023-34362|CVE-2023-34362]] · [[cve-2023-35036|CVE-2023-35036]] · [[cve-2023-35708|CVE-2023-35708]] **TTPs chave:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] · [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] **Malware:** [[lemurloot]] **Setores impactados:** [[government]] · [[healthcare]] · [[financial]] · [[education]] --- ## Relevância LATAM/Brasil O Brasil e países da América Latina não foram alvos primários identificados, porém organizações brasileiras que utilizam MOVEit Transfer ou que são clientes de prestadores de serviços norte-americanos e europeus comprometidos podem ter tido dados expostos de forma indireta. O [[cl0p|Cl0p]] tem histórico de alvos em múltiplos continentes e operações de extorsão não discriminatórias - qualquer organização utilizando MOVEit Transfer estava em risco. O incidente reforça os riscos de plataformas MFT (Managed File Transfer) como superfície de ataque e a importância de monitorar vulnerabilidades em software de terceiros amplamente usado. *Fonte: [CISA - AA23-158A: CL0P Exploits MOVEit Vulnerability](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a)* *Fonte: [Mandiant - Zero-Day MOVEit Data Theft](https://cloud.google.com/blog/topics/threat-intelligence/zero-day-moveit-data-theft)* *Fonte: [Unit 42 - MOVEit Transfer Vulnerabilities](https://unit42.paloaltonetworks.com/threat-brief-moveit-CVE-2023-34362/)*