MOVEit y Cl0p: El Robo Masivo de Datos que Afectó a 2.700 Organizaciones

La exfiltración industrial

31 de mayo de 2023. Progress Software publica un aviso de seguridad urgente: una vulnerabilidad crítica de día cero está siendo explotada activamente en MOVEit Transfer, su producto estrella de transferencia de archivos gestionada. Pero para cuando el aviso sale, ya es tarde. El grupo Cl0p lleva semanas robando datos silenciosamente.

Lo que siguió fue la operación de exfiltración masiva más grande de 2023: más de 2.700 organizaciones comprometidas, datos de más de 90 millones de personas robados, y un modelo de extorsión que prescindía del ransomware tradicional. Cl0p no cifró nada. Solo robó. Y luego amenazó con publicar.

Cl0p: del ransomware a la exfiltración pura

La evolución de Cl0p

Cl0p (también escrito como Clop o Cl0P) es un grupo de cibercrimen activo desde 2019, vinculado al actor de amenazas TA505/FIN11. Originalmente operaban como un grupo de ransomware tradicional: compromiso de la red, cifrado de datos, nota de rescate.

Pero con MOVEit, Cl0p perfeccionó un modelo diferente: la exfiltración masiva automatizada. En lugar de pasar semanas dentro de cada red, encontraron una vulnerabilidad en un software utilizado por miles de organizaciones, la explotaron simultáneamente contra todas ellas, robaron los datos y se retiraron. Sin cifrado. Sin despliegue de malware persistente. Solo in, grab, out.

El patrón previo: Accellion y GoAnywhere

MOVEit no fue el primer ataque de este tipo. Cl0p había perfeccionado la técnica con dos ataques anteriores contra software de transferencia de archivos:

Accellion FTA (diciembre 2020 - enero 2021): Cl0p explotó vulnerabilidades zero-day en Accellion File Transfer Appliance, robando datos de Bombardier, Kroger, Shell, universidades y bufetes de abogados. Aproximadamente 100 organizaciones afectadas.

Fortra GoAnywhere MFT (enero-febrero 2023): Cl0p explotó CVE-2023-0669 en GoAnywhere MFT, robando datos de 130 organizaciones, incluyendo Community Health Systems (1 millón de pacientes), Hatch Bank, y la ciudad de Toronto.

MOVEit fue la culminación y la operación a mayor escala.

La vulnerabilidad: CVE-2023-34362

SQL injection con RCE

La vulnerabilidad en MOVEit Transfer era una inyección SQL en la interfaz web del producto. Permitía a un atacante no autenticado:

1. Inyectar comandos SQL a través de la interfaz web
2. Obtener acceso a la base de datos de MOVEit
3. Ejecutar código arbitrario en el servidor

La explotación era relativamente sencilla para un atacante con conocimientos de inyección SQL, y no requería autenticación previa. Cualquier instancia de MOVEit Transfer expuesta a Internet era vulnerable.

Preparación desde 2021

La investigación forense posterior reveló algo alarmante: Cl0p había descubierto y probado la vulnerabilidad desde al menos julio de 2021. Durante dos años, realizaron pruebas contra instancias de MOVEit Transfer, perfeccionando su exploit y preparando la infraestructura para la explotación masiva.

Las evidencias forenses incluían accesos de prueba a servidores MOVEit desde IPs vinculadas a Cl0p en julio de 2021 y abril de 2022, casi dos años antes de la explotación masiva.

La operación: explotación coordinada a escala industrial

El fin de semana del Memorial Day

Cl0p eligió el fin de semana del Memorial Day (27-29 de mayo de 2023) en EEUU para lanzar la explotación masiva. El timing era deliberado: muchos equipos de seguridad tenían personal reducido durante el festivo.

La secuencia

1. Escaneo masivo: Cl0p escaneó Internet buscando todas las instancias de MOVEit Transfer expuestas
2. Explotación automatizada: Desplegaron su exploit contra cientos de instancias simultáneamente
3. Webshell LEMURLOOT: Instalaron un webshell personalizado (bautizado LEMURLOOT por Mandiant) que les daba acceso persistente
4. Exfiltración de datos: A través del webshell, robaron los archivos almacenados en cada instancia de MOVEit
5. Retirada: Eliminaron logs y minimizaron rastros

La operación completa de explotación y exfiltración duró aproximadamente dos semanas (desde el fin de semana del Memorial Day hasta mediados de junio, cuando las víctimas empezaron a parchear).

El aviso de Progress Software

Progress Software publicó el aviso de seguridad el 31 de mayo. El parche estuvo disponible poco después. Pero la velocidad de la explotación significó que muchas organizaciones ya estaban comprometidas cuando recibieron el aviso.

Para complicar las cosas, se descubrieron vulnerabilidades adicionales en MOVEit Transfer en las semanas siguientes (CVE-2023-35036 y CVE-2023-35708), requiriendo parches adicionales.

Las víctimas: la lista interminable

Gobiernos

• Departamento de Energía de EEUU (incluyendo NNSA y WIPP)
• Departamentos de Vehículos Motorizados de Louisiana y Oregon (millones de licencias de conducir)
• Oficina de Gestión de Personal de EEUU (OPM)
• Gobierno de Nueva Escocia (Canadá)
• Ofcom (regulador de telecomunicaciones del Reino Unido)

Sector financiero

• Shell: Datos de empleados y clientes
• 1st Source Bank, First National Bankers Bank
• Múltiples fondos de pensiones y gestoras de activos

Salud

• BORN Ontario: 3,4 millones de registros de nacimiento
• Colorado HCPF: Datos de 4 millones de pacientes de Medicaid
• Johns Hopkins University y Johns Hopkins Health System
• Múltiples aseguradoras de salud

Medios y aerolíneas

• BBC: Datos de empleados actuales y anteriores
• British Airways: Datos de empleados
• Aer Lingus: Datos de empleados

Educación

• Universidad de California, Los Ángeles (UCLA)
• Universidad de Georgia
• National Student Clearinghouse (datos de 890 instituciones)

Otros

• Ernst & Young: Datos de clientes
• PricewaterhouseCoopers (PwC): Datos de clientes
• Genworth Financial: 2,5 millones de registros
• Maximus: 11 millones de registros (el mayor conjunto individual)

Las cifras totales

Según el rastreo de Emsisoft y otros investigadores:

• Más de 2.700 organizaciones afectadas
• Más de 90 millones de personas cuyos datos fueron comprometidos
• Estas cifras siguieron creciendo durante meses a medida que más víctimas identificaban la brecha

La extorsión

El ultimátum

A partir del 14 de junio, Cl0p publicó un mensaje en su sitio de filtraciones en la dark web:

"Si usted es un gobierno, ciudad o servicio policial, no se preocupe, borramos todos sus datos. No tenemos interés en exponer esa información."

Para el sector privado, el mensaje era diferente: contacte con nosotros antes de la fecha límite o publicaremos sus datos. Las empresas que no pagaban veían sus datos publicados progresivamente en el sitio de Cl0p.

¿Pagaron las víctimas?

Las estimaciones de pagos varían:

• Coveware estimó que entre el 2% y el 10% de las víctimas pagaron
• Dada la cantidad de víctimas, incluso un porcentaje bajo generó ingresos significativos
• Chainalysis rastreó pagos vinculados a la campaña MOVEit por valor de más de 100 millones de dólares

Lecciones aprendidas

1. Las aplicaciones MFT son infraestructura crítica invisible

MOVEit Transfer, Accellion FTA, GoAnywhere MFT: estos productos procesan los archivos más sensibles de las organizaciones (datos financieros, médicos, legales). Su seguridad debería recibir la misma atención que cualquier sistema crítico.

2. La exfiltración sin cifrado es más difícil de detectar

Sin ransomware desplegado, sin sistemas caídos, sin notas de rescate, muchas organizaciones tardaron semanas en descubrir que habían sido comprometidas. La detección de exfiltración de datos sigue siendo un reto.

3. Los zero-days se acumulan antes de usarse

Cl0p descubrió la vulnerabilidad en 2021 y esperó dos años para explotarla a escala máxima. Los actores sofisticados acumulan vulnerabilidades y las despliegan cuando las condiciones son óptimas.

4. El timing importa

Explotar durante un fin de semana festivo no es casualidad. Los planes de respuesta a incidentes deben contemplar cobertura 24/7 durante periodos de vacaciones.

5. El modelo de negocio del ransomware evoluciona

Cl0p demostró que el cifrado es opcional. La extorsión basada en exfiltración (sin cifrado) es más rápida, más silenciosa y potencialmente más rentable porque no genera la urgencia operativa que facilita la detección.

Estado actual (2026)

Cl0p

El grupo sigue activo. Tras MOVEit, ha continuado buscando y explotando vulnerabilidades en software de transferencia de archivos y aplicaciones expuestas a Internet. Su modelo operativo de explotación masiva y automatizada sigue siendo su sello distintivo.

MOVEit Transfer

Progress Software implementó mejoras significativas en la seguridad de MOVEit Transfer. Sin embargo, el daño reputacional fue considerable. Muchas organizaciones evaluaron alternativas o implementaron capas adicionales de seguridad alrededor de sus instancias de MOVEit.

El impacto regulatorio

El volumen de personas afectadas (más de 90 millones) generó una cascada de notificaciones regulatorias, demandas colectivas y acciones de supervisores de protección de datos en múltiples jurisdicciones.

Recursos y referencias

• Progress Software Advisory: "MOVEit Transfer Critical Vulnerability" (31 mayo 2023)
• CISA Advisory AA23-158A: "CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability"
• Mandiant: "Zero-Day Vulnerability in MOVEit Transfer Exploited for Data Theft" (análisis de LEMURLOOT)
• Microsoft Threat Intelligence: "Clop ransomware gang exploiting CVE-2023-34362 MOVEit vulnerability"
• Emsisoft Blog: "MOVEit breach: victims, costs, and impact" (rastreo actualizado)
• Chainalysis: Análisis de flujos de criptomonedas vinculados a la campaña MOVEit
• MITRE ATT&CK: Group G0092 (TA505/Cl0p)