Dans le cadre d’une cyberattaque massive en cours qui exploite les failles du logiciel de transfert de fichiers MOVEit, les données personnelles de millions de citoyens américains, y compris ceux résidant en Louisiane et en Oregon, ont été exposées à des organisations criminelles, selon CNN. Dans l’attaque plus large, les pirates ont ciblé des agences gouvernementales ainsi que plusieurs organisations mondiales, provoquant une brèche qui s’étend au-delà des frontières américaines.
Alors que les effets du piratage MOVEit se sont poursuivis tout au long du mois de juin, l’intrusion la plus récente a touché plus de 3,5 millions d’habitants de l’Oregon et potentiellement plus de 3 millions d’habitants de la Louisiane, tous possédant un permis de conduire ou une carte d’identité nationale. Les informations éventuellement compromises incluent les numéros de sécurité sociale et de permis de conduire. Cette violation a incité les autorités étatiques respectives à éduquer les résidents sur les mesures préventives contre l’usurpation d’identité.
Bien qu’aucun auteur spécifique n’ait été officiellement accusé par les États, les responsables fédéraux ont lié la campagne complète de piratage MOVEit à un groupe de rançongiciels russe connu sous le nom de Clop, qui exploite la même vulnérabilité logicielle et exige des rançons de plusieurs millions de dollars, comme indiqué précédemment sur Ars. .
L’Oregon et la Louisiane utilisent tous deux MOVEit Transfer, un outil de partage de fichiers vendu par Progress Software Corp, pour transférer des fichiers et des données entre partenaires commerciaux et clients. La vulnérabilité récemment découverte par MOVEit provient d’une faille de sécurité permettant l’injection SQL, l’un des types d’exploits les plus courants, qui consiste essentiellement à inciter une application Web à renoncer à des données confidentielles ou à des privilèges administratifs.
Lors des précédentes attaques MOVEit, les pirates informatiques sont connus pour avoir obtenu un accès au shell et volé des données moins de deux heures après avoir exploité les serveurs MOVEit. La faille initiale a été corrigée peu de temps après sa découverte, mais pas avant que de nombreuses organisations se soient fait voler leurs données, notamment le service de paie Zellis, la province canadienne de la Nouvelle-Écosse et le détaillant britannique Boots. Alors que l’exploit n’a été connu que récemment des chercheurs en sécurité, un rapport récent montre que Clop était probablement au courant de la vulnérabilité depuis 2021.
De plus, CNN rapporte que les pirates ont accédé aux données de plusieurs agences fédérales américaines, dont le ministère de l’Énergie, et que la violation de données a également touché d’importantes organisations britanniques telles que la BBC et British Airways. Les coupables présumés sont des pirates connus pour leurs demandes de rançon de plusieurs millions de dollars. Cependant, pour l’instant, aucune demande de ce type n’a été signalée par les États-Unis ou les gouvernements des États.
Le bureau du gouverneur de la Louisiane, John Bel Edwards, a confirmé qu’il n’y avait aucune preuve suggérant que les données compromises du Louisiana Office of Motor Vehicles aient été vendues ou publiées. De même, les pirates n’ont fait aucune communication avec le gouvernement de l’État. Cependant, Clop a récemment commencé à répertorier les noms des organisations touchées par le piratage MOVEit dans le but de leur faire honte de payer des rançons.
Pendant ce temps, Progress Software, la société américaine qui a développé MOVEit, a identifié une deuxième vulnérabilité dans le code qu’elle dit travailler activement à résoudre. Son site Web décrit également les mesures que les clients de MOVEit peuvent prendre pour protéger leurs données. Même ainsi, avec une brèche aussi profonde, il est probable que les retombées se poursuivront.