La plate-forme bancaire Fintech Hatch Bank a signalé une violation de données après que des pirates ont volé les informations personnelles de près de 140 000 clients de la plate-forme de partage de fichiers sécurisé Fortra GoAnywhere MFT de l’entreprise.
Hatch Bank est une entreprise de technologie financière permettant aux petites entreprises d’accéder aux services bancaires d’autres institutions financières.
Comme indiqué par TechCrunch, les notifications de violation de données envoyées aux clients concernés et déposées auprès des bureaux du procureur général ont averti que les pirates exploitaient une vulnérabilité du logiciel GoAnywhere MFT pour voler les données de 139 493 clients.
« Le 29 janvier 2023, Fortra a connu un cyberincident lorsqu’elle a appris l’existence d’une vulnérabilité localisée dans son logiciel », a averti la notification de violation de données de Hatch Bank.
« Le 3 février 2023, Hatch Bank a été informée par Fortra de l’incident et a appris que ses fichiers contenus sur le site GoAnywhere de Fortra faisaient l’objet d’un accès non autorisé. »
Hatch dit qu’ils ont procédé à un examen des données qui ont été volées et ont déterminé que les noms et les numéros de sécurité sociale des clients avaient été volés par les attaquants.
La banque a ajouté qu’elle offrait un accès gratuit aux services de surveillance du crédit pendant douze mois aux personnes concernées.
Il s’agit de la deuxième violation de données confirmée causée par les attaques GoAnywhere MFT, la première ayant été divulguée par Community Health Systems (CHS) le mois dernier.
Clop ransomware gang derrière les violations de GoAnywhere
Alors que Hatch Bank n’a pas révélé quel acteur menaçant a mené l’attaque, le gang de rançongiciels Clop a déclaré à Brechtrace qu’il était derrière ces attaques et qu’il avait volé des données à plus de 130 organisations.
Le gang de rançongiciels affirme avoir utilisé la vulnérabilité zero-day de la plate-forme de partage de fichiers sécurisé GoAnywhere MFT de Fortra pour voler des données pendant dix jours.
La vulnérabilité est désormais identifiée comme CVE-2023-0669 et est une vulnérabilité d’exécution de code à distance permettant aux pirates distants d’accéder aux serveurs. GoAnywhere a révélé sa vulnérabilité aux clients début février après avoir appris qu’elle était activement exploitée dans des attaques.
Un exploit a été rendu public pour la vulnérabilité un jour avant que la plate-forme ne reçoive un correctif d’urgence le 7 février.
Brechtrace n’a pas pu confirmer de manière indépendante les affirmations de Clop selon lesquelles ils étaient à l’origine des attaques, et Fortra n’a jamais répondu à nos e-mails.
Cependant, le responsable Huntress Threat Intelligence, Joe Slowik, a également trouvé des liens entre le GoAnywhere MFT et TA505, le groupe de piratage connu pour déployer le rançongiciel Clop.
Clop est connu pour avoir utilisé une tactique similaire en décembre 2020, lorsqu’ils ont exploité une vulnérabilité zero-day dans le système File Transfer Appliance (FTA) d’Accellion pour voler des données à des entreprises du monde entier.
Comme GoAnywhere MFT, Accellion FTA permet aux organisations de partager des fichiers avec leurs clients en toute sécurité.
Dans le cadre de ces attaques, le gang de rançongiciels Clop a tenté d’extorquer les victimes en exigeant une rançon de 10 millions de dollars pour empêcher la publication des données volées.
Les attaques Accellion FTA ont causé des dégâts considérables, de nombreuses organisations ayant divulgué des violations connexes, notamment Morgan Stanley, Qualys, le géant de l’énergie Shell, le géant des supermarchés Kroger. Plusieurs universités du monde entier ont également été touchées, notamment Stanford Medicine, l’Université du Colorado, l’Université de Miami et l’Université de Californie.
Bien que l’on ne sache pas si Clop exige des rançons similaires aux victimes des attaques GoAnywhere MFT, si le gang suit des tactiques similaires, nous commencerons à voir des données volées apparaître sur leur site de fuite de données à l’avenir.