Western Alliance Bank con sede en Arizona, está notificando a casi 22.000 clientes que su información personal fue robada en octubre, luego de que un software de transferencia de archivos seguro de un proveedor externo fuera comprometido.
Detalles del Incidente
Western Alliance es una filial de Western Alliance Bancorporation, una empresa bancaria líder en EE.UU. con más de 80 mil millones de dólares en activos.
Los atacantes aprovecharon una vulnerabilidad de día cero en el software de transferencia de archivos de terceros (divulgada el 27 de octubre de 2024) para hackear algunos sistemas limitados de Western Alliance y extraer archivos almacenados en los dispositivos comprometidos.
Western Alliance descubrió que los datos de los clientes fueron exfiltrados solo después de que los atacantes filtraron algunos de los archivos robados de sus sistemas.
Información Robada
Las cartas de notificación de la brecha enviadas a 21.899 clientes afectados indicaron que los datos personales robados incluían:
- Nombre y Número de Seguro Social
- Fechas de nacimiento
- Números de cuentas financieras
- Números de licencia de conducir
- Números de identificación fiscal
- Información de pasaporte (si se proporcionó a Western Alliance)
Western Alliance también destacó que no hay evidencia de que esta información personal haya sido mal utilizada para cometer fraude o robo de identidad.
Medidas Ofrecidas ️
Para proteger a los afectados, Western Alliance ofrece un año gratuito de membresía para los servicios de protección de identidad Experian IdentityWorks Credit 3B.
La compañía aconseja a los afectados que aprovechen el monitoreo de crédito gratuito incluido en la carta, aunque no hay pruebas de que los datos hayan sido utilizados de manera fraudulenta.
Ransomware Clop Atribuido al Ataque
Aunque el software de transferencia de archivos comprometido no se menciona específicamente en las cartas de notificación ni en la presentación de la SEC, Western Alliance es una de las 58 empresas que el grupo de ransomware Clop agregó a su sitio de filtración en enero.
Clop aprovechó una vulnerabilidad de día cero pre-autenticación (CVE-2024-50623) en software de Cleo LexiCom, VLTransfer y Harmony, la cual fue parchada en octubre.
En diciembre, Cleo lanzó actualizaciones de seguridad para otra vulnerabilidad de día cero (CVE-2024-55956) explotada por los actores de Clop para instalar un backdoor JAVA llamado Malichus y robar datos.
Impacto del Ataque
Aunque aún se desconoce cuántas empresas fueron comprometidas, Cleo afirma que su software es utilizado por más de 4,000 organizaciones a nivel mundial.
Clop también ha estado vinculado a otras campañas de robo de datos en los últimos años, apuntando a vulnerabilidades de día cero en MOVEit Transfer, GoAnywhere MFT y Accellion FTA.