Le gang de rançongiciels Clop a déclaré à Breachtrace qu’il était à l’origine des attaques de vol de données MOVEit Transfer, où une vulnérabilité zero-day a été exploitée pour violer les serveurs de plusieurs entreprises et voler des données.
Cela confirme l’attribution de Microsoft dimanche soir au groupe de piratage qu’ils suivent sous le nom de « Lace Tempest », également connu sous le nom de TA505 et FIN11.
Le représentant de Clop a en outre confirmé qu’ils avaient commencé à exploiter la vulnérabilité le 27 mai, pendant les longues vacances du Memorial Day américain, comme l’avait précédemment révélé Mandiant.
Mener des attaques pendant les vacances est une tactique courante pour l’opération de rançongiciel Clop, qui a déjà entrepris des attaques d’exploitation à grande échelle pendant les vacances lorsque le personnel est au minimum.
Par exemple, ils ont exploité une vulnérabilité Zero-Day Accellion FTA similaire le 23 décembre 2020 pour voler des données dès le début des vacances de Noël.
Bien que Clop ne partage pas le nombre d’organisations piratées lors des attaques MOVEit Transfer, ils ont déclaré que les victimes seraient affichées sur leur site de fuite de données si une rançon n’était pas payée.
En outre, le gang de rançongiciels a confirmé qu’il n’avait pas commencé à extorquer les victimes, utilisant probablement le temps pour examiner les données et déterminer ce qui est précieux et comment il pourrait être utilisé pour tirer parti d’une demande de rançon des entreprises piratées.
Lors des récentes attaques GoAnywhere MFT du gang, Clop a attendu plus d’un mois pour envoyer par e-mail des demandes de rançon aux organisations.
Enfin, et sans y être invité, le gang de rançongiciels a déclaré à Breachtrace qu’il avait supprimé toutes les données volées aux gouvernements, à l’armée et aux hôpitaux pour enfants lors de ces attaques.
« Je veux vous dire tout de suite que l’armée, les hôpitaux pour enfants, le GOV, etc., nous ne pouvons pas attaquer, et leurs données ont été effacées », a déclaré Clop dans son e-mail à Breachtrace .
Breachtrace n’a aucun moyen de confirmer si ces affirmations sont exactes, et comme toute attaque de vol de données, toutes les organisations concernées doivent les traiter comme si les données risquaient d’être utilisées de manière abusive.
Alors que Clop a commencé comme une opération de ransomware, le groupe a précédemment déclaré à Breachtrace qu’il s’éloignait du cryptage et préférait plutôt l’extorsion de données.
Les premières victimes se présentent
Nous avons également vu nos premières révélations d’organisations piratées dans les attaques de vol de données MOVEit de Clop.
Le fournisseur britannique de solutions de paie et de ressources humaines, Zellis, a confirmé avoir subi une violation de données en raison de ces attaques, qui ont également touché certains de ses clients.
« Un grand nombre d’entreprises à travers le monde ont été affectées par une vulnérabilité zero-day dans le produit MOVEit Transfer de Progress Software », a déclaré Zellis à Breachtrace dans un communiqué.
« Nous pouvons confirmer qu’un petit nombre de nos clients ont été touchés par ce problème mondial et nous travaillons activement pour les soutenir. Tous les logiciels appartenant à Zellis ne sont pas affectés et il n’y a aucun incident ou compromis associé à aucune autre partie de notre parc informatique. . »
« Une fois que nous avons pris connaissance de cet incident, nous avons pris des mesures immédiates, en déconnectant le serveur qui utilise le logiciel MOVEit et en engageant une équipe d’experts externes en réponse aux incidents de sécurité pour aider à l’analyse médico-légale et à la surveillance continue. Nous avons également informé l’ICO, le DPC et le NCSC. au Royaume-Uni et en Irlande. »
Aer Lingus a confirmé à Breachtrace qu’ils avaient subi une brèche par le biais du compromis Zellis MOVEit.
« Cependant, il a été confirmé qu’aucune information financière ou bancaire relative aux employés actuels ou anciens d’Aer Lingus n’a été compromise dans cet incident », lit-on dans un communiqué d’Aer Lingus.
« Il a également été confirmé qu’aucune coordonnée téléphonique concernant les employés actuels ou anciens d’Aer Lingus n’a été compromise. »
Comme le rapporte The Record, British Airways a également confirmé que la violation de Zellis les avait touchés.
Malheureusement, comme nous l’avons vu avec les précédentes attaques Clop sur les plates-formes de transfert de fichiers gérées, nous verrons probablement un long flux de divulgations d’entreprises au fil du temps.