Le gang de rançongiciels Clop a commencé à extorquer les entreprises touchées par les attaques de vol de données MOVEit, en listant d’abord les noms de l’entreprise sur un site de fuite de données – une tactique souvent utilisée avant la divulgation publique des informations volées
Ces entrées surviennent après que les acteurs de la menace ont exploité une vulnérabilité zero-day dans la plateforme de transfert de fichiers sécurisé MOVEit Transfer le 27 mai pour voler des fichiers stockés sur le serveur.
Le gang Clop a assumé la responsabilité des attaques, affirmant avoir violé « des centaines d’entreprises » et avertissant que leurs noms seraient ajoutés à un site de fuite de données le 14 juin si les négociations n’avaient pas lieu.
Si une demande d’extorsion n’est pas payée, les acteurs de la menace disent qu’ils commenceront à divulguer des données volées le 21 juin.
Clop commence à extorquer des entreprises
Hier, les acteurs de la menace Clop ont répertorié treize entreprises sur leur site de fuite de données, mais n’ont pas précisé si elles étaient liées aux attaques MOVEit Transfer ou étaient des attaques de cryptage de ransomware.
Depuis lors, l’une des sociétés, Greenfield CA, a été supprimée, indiquant que l’inscription était soit une erreur, soit des négociations sont en cours.
Cinq des sociétés cotées, la multinationale pétrolière et gazière britannique Shell, UnitedHealthcare Student Resources (UHSR), l’Université de Géorgie (UGA) et le système universitaire de Géorgie (USG), Heidelberger Druck et Landal Greenparks, ont depuis confirmé à Breachtrace que ils ont été touchés à des degrés divers par les attaques MOVEit.
Shell a déclaré que seul un petit nombre d’employés et de clients avaient été touchés et Landal a déclaré à Breachtrace que les acteurs de la menace avaient accédé aux noms et aux coordonnées d’environ 12 000 invités.
Le système universitaire de Géorgie, l’Université de Géorgie et UnitedHealthcare Student Resources ont déclaré à Breachtrace qu’ils enquêtaient toujours sur l’attaque et divulgueraient toute violation si elle était découverte.
L’imprimerie allemande Heidelberger Druck a déclaré à Breachtrace que bien qu’ils utilisent MOVEit Transfer, leur analyse indique qu’il n’a entraîné aucune violation de données.
Putnam Investments, qui est également répertorié sur le site de fuite de données de Clop, a déclaré à Breachtrace qu’ils examinaient la question.
Alors que les autres sociétés répertoriées sur le site de Clop n’ont pas répondu à nos e-mails, le chercheur en sécurité de Macnica, Yutaka Sejiyama, a partagé des données avec Breachtrace confirmant qu’ils utilisent actuellement la plate-forme MOVEit Transfer ou l’ont fait dans le passé.
Violations de données déjà divulguées
Parmi les autres organisations qui ont déjà divulgué des violations de MOVEit Transfer, citons Zellis (BBC, Boots et Aer Lingus, le HSE irlandais via Zellis), l’Université de Rochester, le gouvernement de la Nouvelle-Écosse, l’État américain du Missouri, l’État américain de l’Illinois, BORN Ontario, Ofcam, Extreme Networks et l’American Board of Internal Medicine.
Dans le passé, lors d’attaques similaires utilisant des vulnérabilités zero-day dans Accellion FTA, GoAnywhere MFT et SolarWinds Serv-U, les acteurs de la menace ont exigé des rançons de 10 millions de dollars pour empêcher la fuite de données.
Breachtrace a appris que l’opération d’extorsion n’a pas été très réussie dans les tentatives d’extorsion de GoAnywhere, les entreprises préférant divulguer les violations de données plutôt que de payer une rançon.