Progress Software a révélé avoir reçu une demande de la SEC lui demandant de partager des informations relatives à la vulnérabilité de son logiciel de transfert de fichiers, qui a fait l’objet d’un exploit massif à partir de mai dernier. Selon le dossier, l’enquête est actuellement une « enquête d’établissement des faits » et rien n’indique pour l’instant que Progress a « violé les lois fédérales sur les valeurs mobilières ». La société a l’intention de coopérer avec la SEC.
Un par la société de logiciels de cybersécurité Emsisoft estime que la violation MOVEit a exposé les informations d’au moins 64 millions de personnes via 2 547 organisations affiliées. Parmi les organisations touchées par la vulnérabilité Zero Day figurent le Louisiana Office of Motor Vehicles et le Colorado Department of Health Care Policy and Financing. les données de ses employés ont été compromises lors de l’exploit du début du mois. Et le fournisseur de services financiers basé dans le Michigan, Flagstar Bank, a informé ses clients que leurs dossiers avaient été volés (ils bénéficieront désormais de services gratuits de surveillance de l’identité pendant deux ans).
Les coupables de l’attaque – le gang du ransomware CL0P – « ont contribué à la pratique de la double extorsion », selon . Dans ce type de schéma, les rançonneurs chiffrent les données de la cible et menacent de divulguer lesdites données (à moins qu’ils ne soient payés.) Le groupe a depuis divulgué certaines des données qu’il a exfiltrées lors du piratage MOVEit, auprès d’entreprises comme Kirkland et TD Ameritrade. Le FBI a depuis jusqu’à 10 millions de dollars à toute personne disposant d’informations pouvant relier le CL0P à un gouvernement étranger particulier.
Le véritable coût (tant pour les victimes que pour Progress Software) reste inconnu pour le moment. Mais certains des clients concernés ont commencé à demander réparation pour la violation. Progress a révélé dans le même dossier réglementaire qu’il est actuellement partie à 58 recours collectifs. Beaucoup d’entre eux peuvent être consolidés au fur et à mesure de leur progression, mais ils présentent toujours la possibilité d’énormes sanctions civiles.