Sembra non avere fine la scia di vittime degli attacchi perpetrati sfruttando una vulnerabilità zero-day nei server Accellion. Gli attacchi sono avvenuti fra la fine del 2020 e l'inizio del 2021 e in tutti i casi noti hanno comportato data breach con richiesta di riscatto per scongiurarne la diffusione. 

L'ultima vittima in ordine di tempo ad ammettere il suo coinvolgimento è la società di investment banking Morgan Stanley, che ha clienti in oltre 41 Paesi fra aziende, Governi, istituzioni e privati cittadini.

L'accaduto è un dejavù: gli attaccanti hanno rubato informazioni personali dei clienti dopo avere violato un server Accellion FTA del fornitore di terze parti Guidehouse. La violazione è avvenuta a gennaio 2021, il fornitore si è accorto dell'accaduto a marzo e ha notificato il data breach a Morgan Stanley a maggio.  
Al momento non sono state trovate prove che i dati rubati siano stati pubblicati online. Questo non significa che non accadrà in futuro. Morgan Stanley ha sottolineato che i suoi server non hanno subito alcuna violazione, e che i file sottratti comunque erano crittografati. Il guaio è che questa non è una rassicurazione, perché a quanto pare durante l'attacco i cyber criminali avrebbero messo mano anche sulla chiave di decodifica.

Che cosa includevano i file rubati? Nomi dei sottoscrittori di un piano azionario, associati a indirizzo fisico, data di nascita, numero di previdenza sociale e azienda. Non contenevano invece password e credenziali, quindi gli attaccanti non dovrebbero ottenere l'accesso ai conti finanziari dei clienti interessati.

Clop e FIN11 dietro agli hack di Accellion

Morgan Stanley non ha fatto alcun riferimento agli autori dell'attacco che ha colpito il suo fornitore. Tuttavia è noto da tempo che la falla di Accellion è stata sfruttata dal gruppo ransomware Clop e dal gruppo FIN11. Il software FTA di Accellion è stato usato da circa 300 clienti in 20 anni. Questo numero, insieme ai nomi illustri dei clienti stessi, ha attirato l'attenzione dei criminali e li ha portati a sviluppare un attacco alla supply chain.

Fra le vittime ricordiamo infatti il colosso dell'Oil&Gas Shell, quello dei supermercati Kroger, la Reserve Bank of New Zealand, l'Australian Securities and Investments Commission (ASIC), Singtel, QIMR Berghofer Medical Research Institute, l'azienda di cyber security Qualys, Transport for NSW, Singtel, Bombadier, la specialista di geo-dati Fugro, lo studio legale Jones Day, la società di scienza e tecnologia Danaher e la società di servizi tecnici ABS Group. In tutto si stima che le vittime siano poco meno di un terzo dei clienti Accellion.