Le gang de rançongiciels Clop a commencé à extorquer des entreprises dont les données ont été volées en utilisant une vulnérabilité zero-day dans la solution de partage de fichiers sécurisé Fortra GoAnywhere MFT.
En février, les développeurs de la solution de transfert de fichiers GoAnywhere MFT ont averti les clients qu’une vulnérabilité d’exécution de code à distance zero-day était exploitée sur les consoles d’administration exposées.
GoAnywhere est une solution de transfert de fichiers Web sécurisée qui permet aux entreprises de transférer en toute sécurité des fichiers cryptés avec leurs partenaires tout en conservant des journaux d’audit détaillés des personnes ayant accédé aux fichiers.
Bien qu’aucun détail n’ait été partagé publiquement sur la façon dont la vulnérabilité a été exploitée, un exploit de preuve de concept a été rapidement publié, suivi d’un correctif pour la faille.
Le lendemain de la publication du correctif GoAnywhere, le gang du rançongiciel Clop a contacté Breachtrace et a déclaré être responsable des attaques.
Le groupe d’extorsion a déclaré avoir utilisé la faille pendant dix jours pour voler des données à 130 entreprises. À l’époque, Breachtrace n’a pas pu confirmer ces affirmations de manière indépendante et Fortra n’a pas répondu à nos e-mails.
Depuis lors, deux sociétés, Community Health Systems (CHS) et Hatch Bank, ont révélé que des données avaient été volées lors des attaques GoAnywhere MFT.
Clop commence à extorquer les clients de GoAnywhere
Hier soir, le gang de rançongiciels Clop a commencé à exploiter publiquement les victimes des attaques GoAnywhere en ajoutant sept nouvelles sociétés à leur site de fuite de données.
Une seule des victimes, Hatch Bank, est publiquement connue pour avoir été violée en utilisant la vulnérabilité. Cependant, Breachtrace a appris qu’au moins deux autres sociétés cotées en bourse se sont également fait voler leurs données en utilisant cette faille.
Les entrées sur le site de fuite de données indiquent toutes que la publication des données « arrive bientôt », mais incluent des captures d’écran de données prétendument volées.
De plus, Breachtrace a été informé que les victimes ont commencé à recevoir des demandes de rançon de la part du gang des rançongiciels.
Bien que l’on ne sache pas combien les acteurs de la menace exigent, ils avaient précédemment exigé 10 millions de dollars de rançons lors d’attaques similaires utilisant une vulnérabilité Zero Day Accellion FTA en décembre 2020.
Au cours de ces attaques, le groupe d’extorsion a volé de grandes quantités de données à près de 100 entreprises dans le monde, les acteurs de la menace divulguant lentement des données aux entreprises tout en exigeant des rançons d’un million de dollars.
Les organisations dont les serveurs Accellion ont été piratés comprennent, entre autres, le géant de l’énergie Shell, la société de cybersécurité Qualys, le géant des supermarchés Kroger et plusieurs universités dans le monde telles que Stanford Medicine, l’Université du Colorado, l’Université de Miami, l’Université de Californie et l’Université du Maryland. Baltimore (UMB).