La ville de Toronto fait partie des dernières victimes du gang de rançongiciels Clop dans la frénésie de piratage GoAnywhere en cours.

Parmi les autres victimes répertoriées aux côtés du gouvernement de la ville de Toronto, citons Virgin Red du Royaume-Uni et la société statutaire, Pension Protection Fund.

En exploitant une faille d’exécution de code à distance dans l’outil de transfert de fichiers sécurisé GoAnywhere de Fortra, Clop affirme avoir réussi à violer plus de 130 organisations jusqu’à présent.

La ville de Toronto confirme le vol de données
Le gang de rançongiciels Clop a frappé la ville de Toronto dans ses attaques continues ciblant les organisations utilisant la solution de transfert de fichiers vulnérable GoAnywhere.

Le gang de rançongiciels Clop avait répertorié la ville de Toronto sur son site Web de fuite

Le groupe de rançongiciels avait précédemment répertorié la victime sur son site Web sombre de fuite de données, selon l’analyste des menaces Intel Dominic Alvieri, qui a surveillé le développement et partagé la découverte avec Breachtrace.

« Le 20 mars, la Ville a pris connaissance d’un accès non autorisé potentiel aux données de la Ville », a déclaré un porte-parole de la Ville de Toronto à Breachtrace.

« Aujourd’hui, la ville de Toronto a confirmé qu’un accès non autorisé aux données de la ville s’est produit par l’intermédiaire d’un fournisseur tiers. L’accès est limité aux fichiers qui n’ont pas pu être traités via le système de transfert de fichiers sécurisé tiers. »

Le porte-parole a déclaré que le gouvernement de la ville enquêtait activement sur les détails des fichiers identifiés.

« La Ville de Toronto s’engage à protéger la vie privée et la sécurité des Torontois dont les informations sont sous sa garde et son contrôle et à repousser avec succès les cyberattaques au quotidien. »

« La Ville en est encore aux premières étapes de la détermination de l’impact de l’accès non autorisé aux données de la Ville. Si l’enquête de la Ville détermine que les données des résidents ont été compromises, la Ville informera et communiquera avec toute personne dont les informations pourraient avoir été compromises. »

Toronto fait partie de la liste croissante des victimes de Clop touchées par les instances vulnérables d’un programme Fortra (anciennement HelpSystems) appelé GoAnywhere.

La faille, désormais identifiée comme CVE-2023-0669, permet aux attaquants d’obtenir l’exécution de code à distance sur des instances GoAnywhere MFT non corrigées avec leur console d’administration exposée à un accès Internet.

Fortra avait précédemment révélé à ses clients que la vulnérabilité avait été exploitée comme un jour zéro dans la nature et avait exhorté les clients à corriger leurs systèmes.

En février, Clop a contacté Breachtrace et a affirmé qu’il avait violé plus de 130 organisations et volé leurs données en dix jours en exploitant cette vulnérabilité particulière sur les serveurs d’entreprise. Et depuis, la liste des victimes ne cesse de s’allonger de jour en jour.

Ce mois-ci, Hitachi Energy, Saks Fifth Avenue, ainsi que la société de cybersécurité Rubrik ont révélé l’impact de Clop résultant du même jour zéro.

Clop frappe le Virgin Red du Royaume-Uni, fonds de pension du gouvernement
Les victimes de Clop de cette semaine incluent également Virgin Red au Royaume-Uni, le club de récompenses du groupe Virgin qui permet aux clients de gagner et de dépenser des points dans les entreprises Virgin, telles que Virgin Atlantic, et d’autres organisations partenaires.

Le rançongiciel Clop prétend attaquer Virgin UK

Alors que Clop répertorie la victime comme « Virgin », un porte-parole a déclaré à Breachtrace que la violation n’affectait que Virgin Red.

« Nous avons récemment été contactés par un groupe de rançongiciels, se faisant appeler Cl0p, qui a obtenu illégalement des fichiers Virgin Red via une cyber-attaque contre notre fournisseur, GoAnywhere », a déclaré un porte-parole de Virgin à Breachtrace.

« Les fichiers en question ne présentent aucun risque pour les clients ou les employés car ils ne contiennent aucune donnée personnelle. »

Une autre organisation pour confirmer l’impact du fournisseur de logiciels de transfert de fichiers est le Pension Protection Fund (PPF) du Royaume-Uni, une société publique statutaire qui est responsable devant le Parlement britannique par l’intermédiaire du secrétaire d’État au ministère du Travail et des Pensions.

Dans le cas de PPF, le groupe de rançongiciels et d’extorsion a réussi à mettre la main sur les données des employés.

« Malheureusement, certains de nos employés actuels et anciens ont été touchés par la violation potentielle », a annoncé l’organisation dans un communiqué.

« Nous avons déjà informé toutes les personnes concernées de la situation et leur avons offert notre soutien et des services de surveillance supplémentaires pour les aider. »

PPF a cessé d’utiliser GoAnywhere depuis et continue de travailler en étroite collaboration avec Fortra, ses partenaires de sécurité et les forces de l’ordre dans le cadre d’activités d’enquête.

« Comprendre quelles données ont pu être compromises et contacter toute personne potentiellement affectée a été notre priorité absolue. Nous pouvons rassurer nos membres actuels et les contribuables qu’aucune de leurs données n’a été impliquée dans la violation. »

« Nous tenons à souligner que nos propres systèmes n’ont pas été compromis et nous restons vigilants, travaillant selon les normes et certifications de sécurité de l’information les plus élevées… »

Les organisations utilisant la solution vulnérable de transfert de fichiers sécurisé GoAnywhere doivent corriger leurs systèmes dès que possible pour se protéger contre de telles cyberattaques.

Mise à jour, 24 mars 2023 03h15 HE : Ajout d’une réponse supplémentaire de la ville de Toronto. Libellé clarifié concernant les instances Fortra GoAnywhere vulnérables.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *