– MOVEit est une application de partage de fichiers utilisée dans le système de paie Zellis.
– Un piratage de la chaîne d’approvisionnement cible un programme utilisé par plusieurs organisations.
– L’ampleur réelle de cette attaque de la chaîne d’approvisionnement n’a pas encore été déterminée.
Des organisations du monde entier ont vu leurs informations – et les données de leur personnel – compromises dans les plus grands piratage de la chaîne d’approvisionnement de 2023, et peut-être le plus grand piratage de ce type jamais enregistré.
Un piratage de la chaîne d’approvisionnement est une attaque qui, plutôt que de viser une cible unique, normalement avec un rançongiciel à l’esprit, insère plutôt un logiciel malveillant dans une application ou un logiciel couramment utilisé par de nombreusesdiverses organisations. Une attaque comparable – mais considérablement plus petite – a été lancée sur la bourse de Londres plus tôt cette année.
Cette fois, l’attaque provient du groupe de cybercriminalité clOp basé en Russie et a en fait touché de nombreuses entreprises, grandes et petites. Un logiciel malveillant a été inséré dans l’élément MOVEit de Development Software, qui fournit généralement un moyen sûr de déplacer des fichiers au sein d’une organisation.
En particulier, l’élément appartenait au système Zellis, un spécialiste sociétés de paie, basées au Royaume-Uni.
Une attaque de la chaîne d’approvisionnement à grande échelle.
C’est important à deux égards. Premièrement, un beaucoup d’entreprises de premier plan, en particulier au Royaume-Uni, utilisent Zellis pour le traitement de leur paie. 3 qui ont déjà obtenu des titres sont la BBC (le radiodiffuseur national du Royaume-Uni), British Airways, l’une des principales compagnies aériennes du pays, et la chaîne de pharmacies Boots, avec 2 200 succursales rien qu’au Royaume-Uni.
Entre eux, ces entreprises ont été informées que les coordonnées de 100 000 membres du personnel ont été compromises et, à moins qu’un accord ne soit conclu, seront publiées sur le Web, permettant à tout pirate informatique, usurpateur, hameçonneur ou autre acteur malveillant de perpétuer le mal du hack presque indéfiniment.
L’attaque ne se limite pas à ces 3 affaires. Aer Lingus, une compagnie aérienne irlandaise, le gouvernement de la Nouvelle-Écosse au Canada et l’Université de Rochester, à New York, se sont donc manifestés pour reconnaître qu’ils sont eux aussi victimes de l’attaque clOp – et il est tout à fait prévu que d’autres les rejoindra au fil des jours.
Ce qui est devenu clair au cours des deux jours suivant l’annonce de l’attaque, c’est que le groupe a peut-être réussi un piratage trop important pour qu’il puisse y faire face .
Dans une attaque de ransomware standard, les pirates ont tendance à choisir une quantité de rançon préliminaire, et après cela, il y a une procédure de négociation ou d’attente jusqu’à ce que quelque chose se produise dans les données – soit elles sont exposées, ou vidé, ou retourné, et soit une certaine quantité d’argent est échangée, soit elle ne l’est pas.
Ce n’est pas à proprement parler une attaque de ransomware ; cela ressemble plus à une demande d’argent avec des menaces.
clOp a en fait écrit un site de blog à plus ou moins n’importe quelle entreprise qui utilise Zellis pour sa fonction de paie, annonçant qu’elle (l’entreprise) dispose de sept jours (jusqu’au 14 juin ) pour appeler les pirates pour entamer la négociation d’un montant qui empêchera le groupe de divulguer les détails du personnel sur son propre site Web.
Incitatifs contrastés.
La nature spécifique des données sensibles change d’une victime à l’autre – la BBC a déclaré comprendre que les numéros d’identification du personnel, les dates de naissance, les adresses personnelles et les numéros d’assurance nationale de son personnel avaient en fait été compromis, tandis que British Airways a alerté son personnel que certains pourraient également s’être fait voler leurs informations bancaires.
RANSOMWARE
Un ransomware frappe un important fournisseur d’applications logicielles de la bourse de Londres
Ce sont des informations comme celle-ci qui incitent les organisations à se soucier du bien-être de leur personnel – dont beaucoup subissent actuellement une crise du coût de la vie et une inflation extrêmement élevée – – veulent négocier avec les cybercriminels pour éviter que l’information ne devienne la monnaie typique de tout hacker ayant un nom ou un gagne-pain.
Les négociations entre les entreprises et les cybercriminels ont le ton d’un film d’horreur basé sur des données.
Naturellement cependant, les conseils de la similarité du UK Cybersecurity Council sont de ne pas payer de rançon si une rançon est exigée ou recommandée. Il y a un raisonnement stratégique à cela – semblable aux intimidateurs, aux maîtres chanteurs et aux terroristes dans le monde non cybernétique, fournir ce qu’ils veulent ne fait que les encourager à tenter leur chance, considérant leurs victimes comme faibles ou désespérées.
Cependant, le raisonnement stratégique est le plus susceptible d’être une commodité froide pour les cent mille personnes validées dont les données sont actuellement compromises, ou les cent mille autres dans le monde qui pourraientêtre compromises par le service de paie Zellis.
Une attaque de la chaîne d’approvisionnement susceptible de s’étendre.
Pratiquement aussi rapidement que le piratage a été confirmé, la société américaine de cybersécurité et de sécurité des infrastructures a émis une alerte à toutes les entreprises qui utilisent MOVEit, qu’elles doivent téléchargez et configurez un correctif de sécurité pour empêcher d’autres brèches — parce que naturellement, maintenant, clOp a un moyen d’entrer dans ce système, sauf il est corrigé, le groupe peut continuer à utiliser leur accès pour compromettre toujours plus de données.
Les analyses de sécurité révèlent que des milliers de bases de données d’entreprise pourraient encore être menacées, car l’adoption du correctif a en fait été époustouflante faible réflexion sur la menace possible pour les informations disponibles.
Dans un moment inhabituel d’altruisme, cependant, clOp a en fait annoncé que le gouvernement, la ville et les services de police étaient en dehors de son champ d’intérêt cette fois-ci.
Il a publié un addendum à son message général « Appelez-nous pour travailler sur vos données », indiquant que les données de ces trois périodes de l’entreprise avaient actuellement été supprimées et ne faisaient pas partie de la stratégie d’extorsion.
Cela, autant que la manière inversée dont le groupe a entrepris de chercher à monétiser sa méga-grève, a conduit les experts à penser que l’attaque s’est en fait terminée étant trop énorme et trop performant pour être géré par clOp.
La grande quantité de données recueillies et la difficulté à les regrouper de manière cohérente semblent poser au groupe un problème ironique traité par les organisations du monde réel — trop de données, gestion de l’information inadéquate.
Ajoutez à cela la vérité qu’il y a très probablement des entreprises qui ne sont pas encore informées qu’elles sont affectées par le piratage et cela pourrait devenir un casse-tête logistique — autant pour les hackers que pour les entreprises qui ont été piratées.
Ce qui se passe avant la date limite de communication– et après– définira comment cet énorme piratage finira par être rappelé. À l’heure actuelle, cependant, les entreprises prendront autant de suggestions que possible de leurs cyber-experts sur la façon de jouer à cette situation totalement inhabituelle.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
