Campagne MOVEit : Cl0p commence à menacer ses victimes

[Mise à jour, le 7 juin 2023 @ 12h00] Le groupe Cl0p vient de publier une note, sur son blog, enjoignant les entreprises utilisatrices de MOVEit Transfer à le contacter, par e-mail, d’ici au 14 juin, afin d’obtenir un lien vers un espace de dialogue privatif. 

Le groupe explique qu’il fournira alors un échantillon de 10 % des données à sa disposition pour l’entreprise concernée, et qu’il consentira à fournir « 2 ou 3 fichiers choisis au hasard pour prouver » qu’il ne ment pas.

Faute d’accord sur un montant de rançon sous 3 jours, la page de revendication sera préparée et, après 7 jours, les données volées commenceront à être divulguées, indique Cl0p.

Cette approche inédite suggère qu’il n’y a pas eu chiffrement de données sur les instances MOVEit Transfer compromises, ni même dépôt de note de rançon, ce message contenant les consignes pour engager le dialogue avec les cybercriminels. 

Cl0p affirme disposer d’informations « sur des centaines d’entreprises » et assure avoir effacé celles appartenant à des administrations publiques, des villes, ou encore des services de police. 

[Article original, le 5 juin 2023 @ 17h27] Selon Microsoft, le groupe Cl0p – surnommé Lace Tempest, par l’éditeur – est à l’origine d’une vaste campagne de cyberattaques exploitant la vulnérabilité CVE-2023-34262 affectant le logiciel MOVEit Transfer.

L’éditeur Progress a levé le voile sur cette vulnérabilité le 31 mai dernier : il s’agit d’une vulnérabilité de type injection SQL pouvant permettre à un attaquant non authentifié d’accéder à la base de données de l’instance visée. 

Cette vulnérabilité a commencé à être exploitée avant que Progress ne sonne le tocsin : dans un billet de blog, Mandiant indique avoir des indices d’exploitation le 27 mai 2023 avec, pour conséquence, l’installation de webshells et le vol de donnes. 

Mandiant n’a pas pu passer à côté des ressemblances avec les campagnes GoAnywhereMFT de Fortra, début 2023, et Accellion FTA il y a deux ans, mais il estimait ne pas disposer d’éléments suffisants pour aboutir à une conclusion. Lace Tempest s’est également illustré, en avril dernier, par l’exploitation des vulnérabilités CVE-2023-27350 et CVE-2023-27351 du logiciel de gestion d’impression PaperCut. 

L’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) a demandé aux agences gouvernementales américaines d’appliquer les mesures nécessaires pour prévenir l’exploitation d’une vulnérabilité affectant un produit logiciel répandu dans l’administration outre-Atlantique. On compte plus de 2 500 instances de MOVEit Transfer dans le monde, dont plus de 1 800 aux États-Unis.

En s’appuyant la méthode de recherche d’instances compromises de Germán Fernández, chercheur au sein de CronUp, Onyphe a identifié, hier 4 juin, plus d’une centaine d’instances de MOVEit Transfert déjà compromises, dont certaines liées à de très grandes entreprises, et d’autres susceptibles de traiter des données médicales.

Outre-Atlantique, la Nouvelle-Écosse dit enquêter sur une fuite de données potentielle en lien avec MoveIt. Outre-Manche, Zellis a confirmé avoir été pris dans tempête, tout en précisant que les données de 8 de ses clients sont concernées, dont la BBC, British Airways, et Boots.