AvidXchange sufre segundo ataque de ransomware y hackers publican datos sensibles robados

AvidXchange sufre un segundo ataque de ransomware y hackers publican datos sensibles

La compañía de software de pagos AvidXchange ha sufrido un segundo ataque de ransomware este año, lo que ha llevado a que los hackers publiquen una gran cantidad de datos sensibles robados. AvidXchange proporciona software basado en la nube que ayuda a las organizaciones a automatizar los procesos de procesamiento de facturas y gestión de pagos. La compañía con sede en Carolina del Norte procesó 70 millones de transacciones para 8.000 clientes en 2022.

El grupo de ransomware RansomHouse ha reclamado la responsabilidad del reciente ciberataque a AvidXchange. En un mensaje en su sitio web oscuro, RansomHouse insta a AvidXchange a contactarles para evitar la filtración de datos confidenciales y documentos.

Entre los datos robados se encuentran acuerdos de no divulgación, información de nómina de empleados y números de cuentas bancarias corporativas. También se incluyen detalles de inicio de sesión, como nombres de usuario, contraseñas y, en algunos casos, respuestas a preguntas de seguridad para una variedad de sistemas de la compañía, desde cuentas en la nube y software de seguridad hasta cerraduras inteligentes y cámaras de vigilancia. Los detalles de inicio de sesión filtrados sugieren que AvidXchange utiliza contraseñas fáciles de adivinar con derivaciones del nombre de la compañía y la palabra "contraseña" en sí misma. Las notas en el documento sugieren que muchos de los inicios de sesión aún pueden estar en uso.

En una breve declaración en su sitio web, AvidXchange dijo que el incidente "afectó a algunos de nuestros sistemas y datos". La compañía dijo que su investigación está en curso, pero confirmó que detectó a principios de abril que "se exfiltró algo de datos de estos sistemas". AvidXchange dijo durante la llamada de ganancias del primer trimestre de la compañía el lunes que espera incurrir en costos relacionados con el incidente.

RansomHouse y su modus operandi

RansomHouse, que ha estado activo desde 2021, se describe a sí mismo como una "comunidad de mediadores profesionales" que apunta a organizaciones con una "actitud negligente hacia la privacidad y seguridad de los datos personales de sus clientes". La banda de ransomware también ha afirmado recientemente que el fabricante de chips AMD y el minorista más grande de África, Shoprite, son víctimas.

Aún no está claro cómo se comprometió AvidXchange, cuántos clientes y empleados se ven afectados por la brecha y si AvidXchange tiene los medios para determinar qué datos se exfiltraron de sus sistemas. Este último ataque se produce solo unas semanas después de que AvidXchange confirmara que era una de las 130 víctimas del hackeo masivo dirigido a los sistemas de Fortra GoAnywhere, que fue reclamado por la banda de ransomware Clop que habla ruso. AvidXchange dijo en ese momento que la compañía utilizaba la tecnología GoAnywhere de Fortra para transferir archivos a una empresa específica que imprime sus cheques.

El sitio web oscuro de filtración de Clop actualmente lista datos que supuestamente robó de AvidXchange, incluidas las copias de seguridad de GoAnywhere de la compañía. La compañía no ha confirmado si pagó un rescate a RansomHouse o Clop.