Western Alliance Bank, basée en Arizona, informe près de 22 000 clients que leurs informations personnelles ont été volées en octobre après la violation du logiciel de transfert de fichiers sécurisé d’un fournisseur tiers.
Western Alliance est une filiale en propriété exclusive de Western Alliance Bancorporation, une société bancaire américaine de premier plan avec plus de 80 milliards de dollars d’actifs.
La banque a révélé pour la première fois dans un dossier déposé auprès de la SEC en février que les attaquants avaient exploité une vulnérabilité zero-day dans le logiciel tiers (divulguée par le fournisseur le 27 octobre 2024) pour pirater un nombre limité de systèmes de l’Alliance occidentale et exfiltrer les fichiers stockés sur les appareils compromis.
Western Alliance a constaté que les données des clients n’avaient été exfiltrées de son réseau qu’après avoir découvert que les attaquants avaient divulgué certains fichiers volés sur ses systèmes.
Dans les lettres de notification de violation envoyées à 21 899 clients concernés et déposées auprès du Bureau du procureur général du Maine, la société a déclaré qu’elle avait depuis « déterminé que l’acteur non autorisé avait acquis certains fichiers des systèmes du 12 octobre 2024 au 24 octobre 2024. »
Une analyse des fichiers volés s’est terminée le 21 février 2025 et a révélé qu’ils contenaient des informations personnelles sur les clients, y compris votre nom et votre numéro de sécurité sociale, ainsi que leurs dates de naissance, numéros de compte financier, numéros de permis de conduire, numéros d’identification fiscale et/ou informations de passeport si elles ont été fournies à Western Alliance.
« Nous n’avons aucune preuve permettant de croire que vos informations personnelles ont été utilisées à mauvais escient dans le but de commettre une fraude ou un vol d’identité », a ajouté Western Alliance, affirmant qu’elle offrait également aux personnes concernées un an d’adhésion gratuite aux services de protection de l’identité Experian IdentityWorks Credit 3B.
« Bien que nous n’ayons aucune preuve que vos renseignements personnels ont été mal utilisés à la suite de cet incident, nous vous encourageons à profiter de la surveillance gratuite du crédit incluse dans cette lettre. »
Un porte-parole de l’Alliance occidentale n’était pas immédiatement disponible pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée.
Violation revendiquée par Clop ransomware
Bien que le logiciel de transfert de fichiers sécurisé compromis dans la violation n’ait pas été nommé dans les lettres de notification de violation ni dans le dépôt de février auprès de la SEC, la banque est l’une des 58 sociétés que le gang de ransomwares Clop a ajoutées à son site de fuite en janvier.
Le groupe de cybercriminalité était à l’origine d’une série d’attaques exploitant une vulnérabilité zero-day préauthentique (CVE-2024-50623) dans les logiciels Cleo LexiCom, VLTransfer et Harmony corrigée en octobre, lorsque la société a averti les clients de mettre à niveau immédiatement.
En décembre, Cleo a publié des mises à jour de sécurité pour un deuxième jour zéro (suivi sous le numéro CVE-2024-55956) que les acteurs de la menace Clop ont exploitées pour déployer une porte dérobée JAVA surnommée « Malichus » pour voler des données, exécuter des commandes et accéder davantage aux réseaux des victimes.
« Cette vulnérabilité a été exploitée pour installer un code de porte dérobée malveillant sur certaines instances Cleo Harmony, VLTrader et LexiCom sous la forme d’un modèle Freemarker malveillant contenant du JavaScript côté serveur », a expliqué Cleo dans un avis privé.
Bien qu’on ignore actuellement combien d’entreprises ont été piratées lors de ces attaques, Cleo affirme que son logiciel est utilisé par plus de 4 000 organisations dans le monde entier.
Clop a déjà été lié à plusieurs autres campagnes de vol de données ces dernières années, ciblant les failles zero-day dans MOVEit Transfer, GoAnywhere MFT et Accellion FTA.