Le géant des biens de consommation Procter & Gamble a confirmé une violation de données affectant un nombre non divulgué d’employés après que sa plateforme de partage de fichiers sécurisé GoAnywhere MFT a été compromise début février.

Bien que la société n’ait pas précisé qui était à l’origine de la faille de sécurité, cela fait partie d’une vague continue de demandes d’extorsion liées aux attaques du gang de rançongiciels Clop ciblant les serveurs de stockage sécurisés Fortra GoAnywhere dans le monde entier.

Selon Procter & Gamble, les attaquants n’ont pas eu accès aux informations financières ou de sécurité sociale des employés, bien qu’ils aient réussi à voler certaines de leurs données.

« P&G peut confirmer qu’elle était l’une des nombreuses entreprises touchées par l’incident GoAnywhere de Fortra. Dans le cadre de cet incident, un tiers non autorisé a obtenu des informations sur les employés de P&G », a déclaré Procter & Gamble à Breachtrace.

« Les données obtenues par la partie non autorisée n’incluaient pas d’informations telles que les numéros de sécurité sociale ou les numéros d’identification nationaux, les détails de carte de crédit ou les informations de compte bancaire. »

P&G affirme qu’il n’a aucune preuve que cette violation de données a eu un impact sur les données des clients et qu’il a cessé d’utiliser les services de partage de fichiers sécurisés GoAnywhere de Fortra après avoir découvert l’incident.

« Lorsque nous avons appris cet incident début février, nous avons rapidement enquêté sur la nature et l’étendue du problème, désactivé l’utilisation des services du fournisseur et informé les employés », a ajouté la société.

« Pour le moment, rien n’indique que les données des clients aient été affectées par ce problème. Nos activités commerciales se poursuivent normalement. »

Clop prétend avoir volé des fichiers à plus de 130 organisations
Le gang de rançongiciels Clop a précédemment déclaré à Bleeping Computer qu’il exploitait la vulnérabilité CVE-2023-0669 GoAnywhere comme un jour zéro pour violer et voler des données sur les serveurs de stockage sécurisés de plus de 130 organisations.

Ils auraient volé les données pendant dix jours après avoir piraté des serveurs exposés à Internet vulnérables aux exploits ciblant ce bogue.

Les acteurs de la menace ont également affirmé qu’ils n’avaient volé que les documents stockés sur les plates-formes de partage de fichiers compromises des victimes, bien qu’ils auraient également pu facilement se déplacer latéralement à travers leurs réseaux pour déployer des charges utiles de ransomware.

Clop a commencé à extorquer publiquement les victimes des attaques GoAnywhere le 10 mars lorsqu’il a ajouté sept entreprises à son site de fuite de données.

Jusqu’à présent, la liste des victimes qui se sont manifestées pour reconnaître les violations de GoAnywhere et que Clop leur extorque comprend également le géant de la santé Community Health Systems (CHS), la plate-forme fintech Hatch Bank, la société de cybersécurité Rubrik, Hitachi Energy, le détaillant de marque de luxe Saks Fifth Avenue, et la ville de Toronto, Canada.

Dans des notes de rançon envoyées aux victimes et vues par Breachtrace, le gang de rançongiciels se présente comme le « groupe de hackers Clop », avertissant les victimes qu’ils ont volé des documents sensibles, qui seraient publiés en ligne sur le site de fuite de Clop et vendus sur le marché noir. si les victimes n’étaient pas disposées à négocier.

« Nous souhaitons vous informer que nous avons volé des informations importantes sur votre ressource GoAnywhere MFT et avons joint une liste complète de fichiers comme preuve », indiquent les notes de rançon.

« Nous n’avons délibérément pas divulgué votre organisation et voulions d’abord négocier avec vous et votre direction. Si vous nous ignorez, nous vendrons vos informations sur le marché noir et les publierons sur notre blog, qui reçoit 30 à 50 000 visiteurs uniques par jour . »

Egalement à l’origine des brèches Accellion 2020
L’utilisation présumée par le gang de rançongiciels d’un GoAnywhere MFT zero-day pour voler des fichiers sensibles sur les serveurs de partage sécurisés des victimes est très similaire à l’utilisation d’une vulnérabilité Accellion FTA zero-day pour voler les données d’environ 100 entreprises en décembre 2020.

Lors des attaques d’Accellion, Clop a volé d’énormes quantités de données et a exigé des rançons de 10 millions de dollars auprès d’entreprises de premier plan telles que le géant de l’énergie Shell, la société de cybersécurité Qualys, le géant des supermarchés Kroger et des universités du monde entier (par exemple, Stanford Medicine, l’Université du Colorado et le Université de Californie).

Le gang Clop est également lié à des attaques de rançongiciels depuis au moins 2019, cryptant et volant des fichiers sur les serveurs d’une longue série de victimes, notamment Software AG IT, l’Université de Maastricht, ExecuPharm et Indiabulls.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *