Campagne GoAnywhere MFT : Atos allonge la liste des victimes de Cl0p

Près de 20 revendications, ce vendredi 24 mars au matin. Près de 40, la veille, pour seulement 5 le 22 mars. Le groupe Cl0p semble avoir décidé d’accélérer la publication des revendications de victimes de sa campagne de cyberattaques menées contre les instances GoAnywhere MFT affectées par la vulnérabilité CVE-2023-0669. 

Parmi les dernières en date se trouve le groupe Atos. Dans un communiqué, celui-ci pointe « une application de transfert de fichiers spécifique Nimbix hébergée sur GoAnywhere MFT. Selon notre enquête en cours, nous avons découvert qu’elle ne traitait que des données standard provenant de Nimbix, une société américaine rachetée par Atos en 2021 ».

Procter & Gamble fait également partie des victimes revendiquées par Cl0p. Dans une déclaration adressée à nos confrères du Cyber Express, le groupe a confirmé avoir été pris dans cette campagne menée par Cl0p. Saks Fith Avenue a adressé une confirmation comparable à nos confrères de Bleeping Computer. Même son de cloche chez Hitachi Energy, dans un communiqué.

Pour plus de 35 des victimes revendiquées à ce jour par Cl0p, il existe un sous-domaine sur le nom de domaine goanywhere[.]cloud. Ce qui représente plus du tiers des sous-domaines actifs début 2023 pour ce nom de domaine, selon les données de RiskIQ. Exemples : AvidXchange, Galderma, Hatchbank, Hitachi Energy, Homewoodhealth, Invest Quebec, ITX Companies, Medex, Onex, Rio Tinto, SAE, US Wellness, ou encore Tuebora. 

Nous avons demandé à Fortra, éditeur de GoAnywhere MFT si le nom de domaine goanywhere[.]cloud est lié à son offre SaaS, GoAnywhere MFTaaS, annoncée en juin 2020. A ce jour, cette question reste sans réponse. 

Mais c’est du côté de GoAnywhere MFTaaS que l’exploitation de la vulnérabilité CVE-2023-0669 semble avoir commencé, ou c’est du moins là qu’elle a été découverte initialement. Fortra nous l’a répété : « le 30 janvier 2023, nous avons été informés d’une activité suspecte dans certaines instances de notre solution GoAnywhere MFTaaS. Nous avons immédiatement pris plusieurs mesures pour y remédier, y compris la mise en œuvre d’une interruption temporaire de ce service pour empêcher toute autre activité non autorisée ».

Nous avons demandé à Fortra à quand l’analyse forensics fait remonter le début de la campagne de Cl0p. Nous n’avons pas encore reçu de réponse à cette question. De sources concordantes toutefois, les données divulguées par le groupe pour quelques-unes des victimes déjà revendiquées suggèrent des exfiltrations survenues fin janvier – y compris pour Rubrik –, avant que Fortra ne soit informé des activités malveillantes, ne lance l’alerte, ne propose un correctif, ou encore qu’un démonstrateur d’exploitation de la vulnérabilité ne soit rendu public.