Cyberextorsion : 2023, année de l’industrialisation

Vulnérabilités dans les systèmes de partage de fichiers GoAnywhere MFT et MOVEit, mais aussi celui de gestion des impressions PaperCut, ou encore celui d’ITSM Service Desk SysAid : Cl0p a montré, en 2023, que l’épisode Accellion FTA, début 2021, n’était pas un coup de chance hasardeux, mais le début d’une véritable stratégie. Et peut-être le début d’une tendance plus large.

Souvenez-vous : mi-décembre 2020, le groupe Cl0p commence à exploiter des vulnérabilités inédites – des 0day – dans l’appliance de transfert de fichiers (FTA) historique d’Accellion. Durant plusieurs mois, le groupe égrainera les noms de victimes.

Mi-janvier 2023, l’histoire se répète, cette fois-ci avec l’exploitation de la vulnérabilité CVE-2023-0669, dans GoAnywhere MFT de Fortra. Elle est alors inédite. 

Cette fois-ci, la litanie des revendications n’attend pas. Et pour cause : Cl0p assure avoir attaqué plus de 130 organisations à travers le monde en seulement une dizaine de jours. 

Poursuivant dans sa lancée, le groupe cybercriminel exploitera en masse, mi-avril, deux vulnérabilités dans le système de gestion d’impression PaperCut, les CVE-2023-27350 et CVE-2023-27351. Il y a une différence cette fois-ci : ces vulnérabilités ne sont pas inédites ; un bulletin d’alerte est disponible depuis le mois de mars.

Fin mai, Cl0p repart à l’attaque, exploitant cette fois-ci la vulnérabilité CVE-2023-34262 du logiciel MOVEit Transfer. L’éditeur Progress la dévoile le 31 mai. Mais selon Mandiant, elle est activement exploitée depuis 4 jours au moins. Les organisations victimes se comptent par centaines. 

Pour Bill Siegel, co-fondateur et PDG de Coveware, une entreprise spécialisée dans la réponse aux incidents liés aux ransomwares, la campagne MOVEit de Cl0p constitue « l’une des campagnes d’exploitation de masse les plus sophistiquées qu’un groupe de ransomware ait menées ». Mais ce ne sera pas la dernière.

Le 2 novembre, l’équipe de sécurité de SysAid prend connaissance d’une vulnérabilité potentielle dans son logiciel d’ITSM sur site. Elle est inédite, mais DEV-0950 (ou Lace Tempest), lié à Cl0p, l’exploite déjà. 

Avec cette série frappante, Cl0p fait la démonstration d’une capacité inédite à accéder à des vulnérabilités 0day, mais surtout à en industrialiser l’exploitation pour lancer des campagnes massives.

Si la vulnérabilité CVE-2023-4966, dite Citrix Bleed, a été exploitée par des acteurs liés à LockBit 3.0 ou encore Medusa, entre autres, elle n’était déjà plus inédite (elle avait été exploitée de la sorte à la fin du mois d’août, selon Mandiant). Des organisations technologiques et gouvernementales étaient alors visées, avant que la cible ne s’élargisse significativement avec son exploitation par les cybercriminels.

Surtout, l’exploitation de Citrix Bleed n’a pas conduit à une campagne aussi vaste, rapide et industrialisée que celles par lesquelles Cl0p s’est illustré en 2023. La question est désormais de savoir si d’autres essaieront, voire réussiront, à suivre cet exemple.