La BBC, British Airways et le gouvernement de la Nouvelle-Écosse sont des victimes confirmées
Les chercheurs en sécurité ont lié au célèbre gang de rançongiciels Clop, une nouvelle vague de piratages de masse ciblant un outil de transfert de fichiers populaire, alors que les premières victimes des attaques commencent à se manifester.
Il a été révélé la semaine dernière que des pirates exploitaient une vulnérabilité récemment découverte dans MOVEit Transfer, un outil de transfert de fichiers largement utilisé par les entreprises pour partager des fichiers volumineux sur Internet. La vulnérabilité permet aux pirates d’obtenir un accès non autorisé à la base de données d’un serveur MOVEit affecté. Progress Software, qui développe le logiciel MOVEit, a déjà publié quelques correctifs.
Au cours du week-end, les premières victimes des attentats ont commencé à se manifester.
Zellis, un fabricant de logiciels de ressources humaines et fournisseur de paie basé au Royaume-Uni, a confirmé dans un communiqué que son système MOVEit avait été compromis, l’incident affectant un « petit nombre » de ses entreprises clientes.
L’un de ces clients est le géant britannique de la compagnie aérienne British Airways, qui a déclaré à TechCrunch que la violation comprenait les données de paie de tous ses employés basés au Royaume-Uni.
« Nous avons été informés que nous sommes l’une des entreprises touchées par l’incident de cybersécurité de Zellis qui s’est produit via l’un de leurs fournisseurs tiers appelé MOVEit », a déclaré à TechCrunch le porte-parole de British Airways, Jason Turnnidge-Betts. « Zellis fournit des services d’assistance à la paie à des centaines d’entreprises au Royaume-Uni, dont nous faisons partie. Nous avons informé les collègues dont les informations personnelles ont été compromises de fournir un soutien et des conseils.
British Airways n’a pas confirmé le nombre d’employés concernés, mais compte actuellement environ 35 000 employés dans le monde.
La BBC du Royaume-Uni a également confirmé qu’elle était affectée par l’incident affectant Zellis. Un porte-parole de la BBC, qui a refusé de donner son nom, a déclaré à TechCrunch : « Nous sommes conscients d’une violation de données chez notre fournisseur tiers, Zellis, et travaillons en étroite collaboration avec eux alors qu’ils enquêtent de toute urgence sur l’étendue de la violation. Nous prenons la sécurité des données très au sérieux et suivons les procédures de signalement établies.
Le gouvernement de la Nouvelle-Écosse, qui utilise MOVEit pour partager des fichiers entre les ministères, a déclaré dans un communiqué que les informations personnelles de certains citoyens pourraient avoir été compromises. Le gouvernement de la Nouvelle-Écosse a déclaré qu’il avait mis son système concerné hors ligne et s’efforçait de déterminer « exactement quelles informations ont été volées et combien de personnes ont été touchées ».
Au départ, on ne savait pas qui était derrière cette nouvelle vague de piratage, mais les chercheurs en sécurité de Microsoft attribuent les cyberattaques à un groupe qu’il suit sous le nom de « Lace Tempest ». Ce gang est une filiale connue du groupe de rançongiciels Clop lié à la Russie, qui était auparavant lié à des attaques de masse exploitant les failles de l’outil de transfert de fichiers GoAnywhere de Fortra et de l’application de transfert de fichiers d’Accellion.
Les chercheurs de Microsoft ont déclaré que l’exploitation de la vulnérabilité MOVEit est souvent suivie d’une exfiltration de données.
Mandiant ne fait pas encore la même attribution que Microsoft, mais a noté dans un article de blog ce week-end qu’il existe des similitudes « notables » entre un cluster de menaces nouvellement créé qu’il appelle UNC4857 et qui a encore des « motivations inconnues » et FIN11, un groupe de rançongiciels bien établi connu pour exploiter le rançongiciel Clop. « L’analyse continue de l’activité émergente peut fournir des informations supplémentaires », a déclaré Mandiant.
Charles Carmakal, directeur de la technologie chez Mandiant, a confirmé à TechCrunch la semaine dernière que la société avait « vu des preuves d’exfiltration de données chez plusieurs victimes ».
Il est probable que de nombreuses autres victimes de la faille MOVEit seront découvertes au cours des prochains jours.
Shodan, un moteur de recherche pour les appareils et les bases de données exposés au public, a montré que plus de 2 500 serveurs MOVEit Transfer étaient détectables sur Internet.