L’équipe de cyber-extorsion Cl0p déclare que les nombreuses organisations dont elles ont volé les données en exploitant une vulnérabilité dans l’option de transfert MOVEit ont jusqu’au 14 juin pour entrer en contact avec elles – ou elles publieront leur nom sur leur page consacrée aux fuites.
Ils menacent également que, si la négociation de paiement échoue et que l’entreprise ne paie pas, ils publieront toutes les données prises après sept jours.
Victimes confirmées
Comme nous l’avons déjà signalé, Zellis, British Airways, la BBC, Aer Lingus et Boots ont en fait confirmé qu’elles faisaient partie des entreprises victimes.
Peu de temps après, la province de la Nouvelle-Écosse (Canada) a partagé que « les informations personnelles de nombreux travailleurs de la santé de la Nouvelle-Écosse, du centre de santé IWK et de la fonction publique ont en fait été prises dans la faille de cybersécurité internationale MOVEit . »
Cl0p affirme que le gouvernement fédéral, les entreprises policières et les villes n’ont pas à s’inquiéter du fait que leurs informations sont divulguées depuis qu’ils les ont éliminées, mais seul le temps nous dira si cela est vrai ou non.
Circonstances exposées de MOVEit Transfer
Il est fort probable qu’avec le temps, d’autres gangs de rançongiciels/d’extorsion commenceront à utiliser l’exploit, soit après l’avoir recréé eux-mêmes, soit après l’avoir acheté à quelqu’un qui l’a fait.
« Au cours de la semaine dernière, Censys a observé une baisse du nombre d’hôtes exécutant des instances MOVEit Transfer exposées de plus de 3 000 à un peu plus de 2,6 000, ce qui indique que certains sont peut-être mis hors ligne », a déclaré l’entreprise, qui gère une plate-forme de recherche Web pour découvrir des gadgets liés au Web, a déclaré mercredi.
« Plusieurs de ces hôtes sont associés à des entreprises de premier plan, y compris de nombreuses entreprises Fortune 500 et des entreprises gouvernementales d’État et fédérales. Les marchés de la finance, de la technologie et de la santé sont les principaux secteurs dans lesquels Censys a en fait observé des variétés considérables d’expositions. »
Les organisations concernées varient d’une petite entreprise à l’autre.
Les avis de sécurité fournissent infos pratiques
Entre-temps, la CISA et le FBI aux États-Unis ont lancé un avis conjoint couvrant les attaques les plus récentes de CL0P, ainsi que les précédentes dans lesquelles ils ont utilisé des zero-days dans Accellion File Transfer Device (FTA ) appareils (en 2020-2021) et la plate-forme GoAnywhere MFT (début 2023).
L’avis détaille les outils et méthodes destructeurs utilisés par le groupe, et se compose d’indicateurs de compromission et de règles de détection que les organisations peuvent utiliser pour vérifier s’ils ont été compromis dans ces attaques et pour nettoyer les systèmes affectés, supprimer les comptes d’administrateur indésirables, etc.
Development Software, la société qui développe et vend MOVEit Transfer et le fournit sous forme de cloud service, met constamment à jour et révise son propre avis de sécurité pour refléter les toutes nouvelles découvertes liées aux attaques.
Les scientifiques de Huntress ont recréé et montré la chaîne d’attaque en exploitant l’application logicielle MOVEit Transfer.
Toute l’actualité en temps réel, est sur L’Entrepreneur
