Le gang de rançongiciels Clop cherche des moyens d’exploiter un zero-day désormais corrigé dans la solution de transfert de fichiers géré (MFT) MOVEit Transfer depuis 2021, selon les experts en sécurité de Kroll.
Lors de l’analyse des journaux sur les réseaux compromis de certains clients lors de l’enquête sur les récentes attaques de vol de données Clop ciblant des instances MOVEit Transfer vulnérables, ils ont trouvé une activité malveillante correspondant à la méthode utilisée par le gang pour déployer le shell Web LemurLoot récemment découvert.
« L’activité au cours de la période du 27 au 28 mai semblait être une chaîne d’attaques d’exploitation automatisée qui a finalement abouti au déploiement du shell Web human2.aspx. L’exploit était centré sur l’interaction entre deux composants légitimes de MOVEit Transfer : moveitisapi/moveitisapi.dll et guestaccess.aspx », a déclaré Kroll.
« L’examen par Kroll des journaux Microsoft Internet Information Services (IIS) des clients concernés a trouvé des preuves d’une activité similaire se produisant dans plusieurs environnements clients l’année dernière (avril 2022) et dans certains cas dès juillet 2021. »
Ils ont également découvert que les acteurs de la menace testaient des moyens de collecter et d’extraire des données sensibles à partir de serveurs MOVEit Transfer compromis dès avril 2022, probablement à l’aide d’outils automatisés.
« Kroll a observé une activité cohérente avec l’exploitation de MOVEit Transfer qui s’est produite collectivement le 27 avril 2022, les 15 et 16 mai 2023 et le 22 mai 2023, indiquant que les acteurs testaient l’accès aux organisations via des moyens automatisés probables et retiraient des informations de MOVEit. Transférez les serveurs pour identifier à quelle organisation ils accédaient », révèle le rapport.
L’activité malveillante automatisée a repris à une échelle beaucoup plus grande à partir du 15 mai 2023, juste avant le début de l’exploitation massive des bogues du jour zéro le 27 mai.
Cela correspondait également à des commandes similaires émises manuellement contre les serveurs MOVEit Transfer en juillet 2021, indiquant que le gang de ransomwares avait attendu d’avoir les outils pour lancer l’attaque finale fin mai 2023.
Les serveurs de « centaines d’entreprises » auraient été piratés
Au cours du week-end, le gang de rançongiciels Clop a déclaré à Bleepingomputer qu’ils étaient à l’origine des récentes attaques de vol de données qui leur ont permis de violer les serveurs MOVEit Transfer qui appartiendraient à « des centaines d’entreprises ».
Bien que les mots des acteurs de la menace ne puissent être pris au pied de la lettre, la déclaration de Clop a confirmé un rapport de Microsoft liant les attaques au groupe de piratage qu’ils suivent sous le nom de Lace Tempest (également connu sous le nom de TA505 et FIN11).
« Microsoft attribue des attaques exploitant la vulnérabilité CVE-2023-34362 MOVEit Transfer 0-day à Lace Tempest, connue pour ses opérations de ransomware et l’exécution du site d’extorsion Clop », a tweeté l’équipe Microsoft Threat Intelligence dimanche soir.
« L’acteur de la menace a utilisé des vulnérabilités similaires dans le passé pour voler des données et extorquer des victimes. »
Le groupe de cybercriminalité Clop était également à l’origine d’autres campagnes de vol de données à fort impact ciblant d’autres plates-formes de transfert de fichiers gérées, notamment l’exploitation « zéro jour » des serveurs Accellion FTA en décembre 2020, les attaques de transfert de fichiers géré SolarWinds Serv-U en 2021, l’exploitation massive de un GoAnywhere MFT zero-day en janvier 2023.
Depuis que les attaques de vol de données MOVEit de Clop ont été détectées, les premières organisations qui ont été violées ont également lentement commencé à faire surface, le fournisseur britannique de solutions de paie et de RH Zellis signalant avoir subi une violation de données qui affectera probablement également certains de ses clients.
Parmi les clients de Zellis qui ont déjà confirmé avoir été touchés figurent la compagnie aérienne irlandaise Aer Lingus et la compagnie aérienne britannique British Airways.
Clop a menacé toutes les organisations concernées de tendre la main et de négocier une rançon si elles ne veulent pas que leurs données soient divulguées en ligne dans six jours, le 14 juin.
