Microsoft a lié le gang de rançongiciels Clop à de récentes attaques exploitant une vulnérabilité zero-day dans la plate-forme MOVEit Transfer pour voler des données à des organisations.
« Microsoft attribue des attaques exploitant la vulnérabilité CVE-2023-34362 MOVEit Transfer 0-day à Lace Tempest, connue pour ses opérations de ransomware et l’exécution du site d’extorsion Clop », a tweeté l’équipe Microsoft Threat Intelligence dimanche soir.
« L’acteur de la menace a utilisé des vulnérabilités similaires dans le passé pour voler des données et extorquer des victimes. »
Jeudi dernier, Breachtrace a été le premier à signaler que des acteurs de la menace exploitaient une vulnérabilité zero-day dans les serveurs MOVEit Transfer pour voler des données à des organisations.
MOVEit Transfer est une solution de transfert de fichiers géré (MFT) qui permet à l’entreprise de transférer en toute sécurité des fichiers entre des partenaires commerciaux et des clients à l’aide de téléchargements basés sur SFTP, SCP et HTTP.
On pense que les attaques ont commencé le 27 mai, pendant les longues vacances du Memorial Day aux États-Unis, Breachtrace étant au courant que de nombreuses organisations se sont fait voler des données pendant les attaques.
Les acteurs de la menace ont utilisé la vulnérabilité MOVEit de jour zéro pour déposer des webshells spécialement conçus sur les serveurs, leur permettant de récupérer une liste de fichiers stockés sur le serveur, de télécharger des fichiers et de voler les informations d’identification/secrets pour les conteneurs Azure Blob Storage configurés.
Bien qu’il ne soit pas clair à l’époque qui était derrière les attaques, il était largement admis que l’opération de rançongiciel Clop était responsable en raison de similitudes avec les attaques précédentes menées par le groupe.
L’opération de ransomware Clop est connue pour cibler les logiciels de transfert de fichiers gérés, auparavant responsables d’attaques de vol de données utilisant un GoAnywhere MFT zero-day en janvier 2023 et l’exploitation zero-day des serveurs Accellion FTA en 2020.
Microsoft dit qu’ils lient maintenant les attaques à « Lace Tempest », en utilisant un nouveau schéma de dénomination des acteurs menaçants introduit en avril. Lace Tempest est plus communément appelé TA505, FIN11 ou DEV-0950.
À l’heure actuelle, l’opération de ransomware Clop n’a pas commencé à extorquer des victimes, les intervenants en cas d’incident informant Breachtrace que les victimes n’ont pas encore reçu de demandes d’extorsion.
Cependant, le gang Clop est connu pour attendre quelques semaines après le vol de données avant d’envoyer un e-mail aux dirigeants de l’entreprise avec leurs demandes.
« Nous n’avons délibérément pas révélé que votre organisation voulait d’abord négocier avec vous et vos dirigeants », lit-on dans une note de rançon Clop envoyée lors des attaques d’extorsion GoAnywhere.
« Si vous nous ignorez, nous vendrons vos informations sur le marché noir et les publierons sur notre blog, qui reçoit 30 à 50 000 visiteurs uniques par jour. Vous pouvez en savoir plus sur nous sur Google en recherchant le groupe de hackers CLOP. »
Historiquement, une fois que Clop commence à extorquer des victimes, ils ajouteront un flux de nouvelles victimes à leur site de fuite de données avec des menaces selon lesquelles les fichiers volés seront bientôt publiés pour exercer une pression supplémentaire sur leurs stratagèmes d’extorsion.
Pour les attaques GoAnywhere, il a fallu un peu plus d’un mois avant de voir des victimes répertoriées sur les sites d’extorsion du gang.