L’exploitation massive de MOVEit Le logiciel de transfert s’est rapidement imposé comme le plus gros hack de l’année jusqu’à présent. Même si l’impact total de l’attaque restera probablement inconnu dans les mois à venir, il y a désormais plus de 1 000 victimes connues de la violation MOVEit, selon la société de cybersécurité Emsisoft.
Cette étape importante fait de la violation MOVEit non seulement le plus grand piratage de 2023, mais aussi l’un des plus importants de l’histoire récente.
Les retombées ont commencé en mai lorsque Progress a révélé une vulnérabilité Zero Day dans MOVEit Transfer, son service de transfert de fichiers géré utilisé par des milliers d’organisations à travers le monde pour déplacer de grandes quantités de données souvent sensibles sur Internet. La vulnérabilité classée critique a permis aux attaquants – en particulier le célèbre gang de ransomware et d’extorsion Clop – d’attaquer les serveurs MOVEit Transfer et de voler les données sensibles des clients qui y étaient stockées.
Depuis lors, les attaques et les menaces de Clop de publier les données volées s’il ne reçoit pas de paiements se sont poursuivies sans relâche, tout comme le nombre d’organisations victimes connues, de personnes touchées connues et les coûts associés aux retombées.
Nous examinons le hack de masse MOVEit en chiffres.
60 144 069
Alors que le nombre d’organisations victimes connues a franchi le cap des 1 000 le 25 août, le nombre de personnes touchées a également dépassé la barre des 60 millions.
Ce chiffre, publié par Emsisoft, provient des notifications de violation par l’État, des dépôts réglementaires auprès de la SEC et d’autres divulgations publiques. Emsisoft note que même s’il y aura invariablement un certain chevauchement en termes de personnes touchées, ce nombre ne fera qu’augmenter à mesure que de plus en plus d’organisations continuent de confirmer des violations de données liées à MOVEit.
83,9%
Les organisations basées aux États-Unis représentent 83,9 % des entreprises victimes connues de MOVEit, selon les chercheurs d’Emisoft. Les organisations en Allemagne représentent environ 3,6 % du total des victimes, suivies par les entreprises canadiennes avec 2,6 % et les entreprises du Royaume-Uni avec 2,1 %.
11 millions
En juillet, le géant américain des services gouvernementaux Maximus est devenu la plus grande victime de la faille MOVEit après avoir confirmé que des pirates informatiques avaient accédé aux informations de santé protégées – y compris les numéros de sécurité sociale – de 11 millions de personnes. La société basée en Virginie avait déclaré à l’époque qu’elle n’avait pas encore déterminé le nombre exact de personnes concernées.
L’ampleur de cet incident est suivie de près par la compromission de l’agence gouvernementale française pour l’emploi, Pôle emploi, qui a récemment confirmé une violation affectant les données personnelles de jusqu’à 10 millions de personnes. Cela fait de l’agence française la deuxième victime connue du piratage massif.
Le Bureau des véhicules automobiles de Louisiane (6 millions) complète la liste des cinq principales victimes de MOVEit. Département de la politique et du financement des soins de santé du Colorado (4 millions) et Département des transports de l’Oregon (3,5 millions).
30,86%
Selon la société d’analyse de sécurité Censys, environ un tiers des hôtes exécutant des serveurs MOVEit vulnérables au début des piratages massifs appartenaient à des organisations liées aux services financiers.
Le rapport, qui a analysé 1 400 serveurs MOVEit librement accessibles sur Internet, a révélé que 15,96 % des hôtes étaient associés au secteur de la santé, 8,92 % étaient liés à des organisations de technologie de l’information et 7,5 % étaient attribués à des entités gouvernementales et militaires.
9 923 771 385 $
Il s’agit du coût total estimé des hacks de masse de MOVEit jusqu’à présent. Ce chiffre est basé sur les données d’IBM, qui ont révélé que la violation de données moyenne de l’année dernière avait coûté 165 dollars, ainsi que le nombre de personnes confirmées touchées.
Cependant, comme l’a noté Emsisoft, seule une poignée d’entreprises victimes ont jusqu’à présent signalé le nombre de personnes connues pour être touchées. Emsisoft a déclaré que si ce chiffre était augmenté, le coût serait d’au moins 65 milliards de dollars à ce jour.
2021
Les chercheurs pensent que Clop était peut-être assis sur son exploit MOVEit dès 2021. La société américaine de conseil en risques Kroll a déclaré dans un rapport que même si la nouvelle de la vulnérabilité est apparue pour la première fois fin mai, les chercheurs de Kroll ont identifié une activité indiquant que Clop avait expérimenté avec exploitant cette vulnérabilité depuis près de deux ans.
« Il semble que les acteurs de la menace Clop avaient terminé l’exploit MOVEit Transfer au moment de l’événement GoAnywhere et ont choisi d’exécuter les attaques de manière séquentielle plutôt qu’en parallèle », déclare Kroll.
10 000 000 $
Le Département d’État américain a offert une prime de 10 millions de dollars pour les informations sur le groupe de ransomware Clop après que les enregistrements d’un certain nombre d’entités du département aient été compromis lors de la violation MOVEit.
Le ministère de l’Énergie a confirmé à TechCrunch que deux de ses entités figuraient parmi les personnes violées.
100 000 000 $
C’est le montant que Clop pourrait gagner grâce à la campagne de piratage de masse MOVEit, selon la société de récupération de ransomware Coveware, cette somme provenant d’une petite poignée de victimes qui ont cédé aux demandes des pirates et ont payé des rançons importantes.
« Il s’agit d’une somme d’argent dangereuse et stupéfiante à posséder pour un groupe relativement restreint. Pour le contexte, ce montant est supérieur au budget annuel de sécurité offensive du Canada », a déclaré Coveware.
Zéro
Il s’agit de la quantité de données gouvernementales que Clop prétend détenir sur les services gouvernementaux, municipaux ou policiers. Dans un article publié sur son site de fuite du dark web, le gang a déclaré qu’il « ferait la chose polie » et supprimerait toutes les données liées au gouvernement. Clop n’a fourni aucune preuve de cette affirmation, et TechCrunch n’a pas non plus été en mesure de vérifier son affirmation. « Nous ne sommes que financiers [sic] motivé », ont écrit les hackers.