BBC, BA et Boots lancent un ultimatum au cybergang Clop

Aug 12, 2023

Un gang prolifique de cybercriminalité qui serait basé en Russie a lancé un ultimatum aux victimes d’un piratage qui a frappé des organisations du monde entier.

Le groupe Clop a publié un avis sur le dark web avertissant les entreprises touchées par le piratage de MOVEit de leur envoyer un e-mail avant le 14 juin, sinon les données volées seront publiées.

Plus de 100 000 employés de la BBC, de British Airways et de Boots ont été informés que les données de paie pourraient avoir été prises.

Les employeurs sont invités à ne pas payer si les pirates exigent une rançon.

La recherche en cybersécurité avait précédemment suggéré que Clop pourrait être responsable du piratage annoncé pour la première fois la semaine dernière.

Les criminels ont trouvé un moyen de pénétrer dans un logiciel d’entreprise populaire appelé MOVEit et ont ensuite pu utiliser cet accès pour accéder aux bases de données de centaines d’autres entreprises.

Les analystes de Microsoft ont déclaré lundi qu’ils pensaient que Clop était à blâmer, sur la base des techniques utilisées dans le piratage.

Cela a maintenant été confirmé dans un long article de blog écrit dans un anglais approximatif.

Le message, vu par la BBC, se lit comme suit: « Ceci est une annonce pour éduquer les entreprises qui utilisent le produit Progress MOVEit que la chance est que nous téléchargeons beaucoup de vos données dans le cadre d’un exploit exceptionnel. »

Le message poursuit en exhortant les organisations de victimes à envoyer un e-mail au gang pour entamer une négociation sur le portail darknet de l’équipe.

Il s’agit d’une tactique inhabituelle car les pirates informatiques envoient normalement des demandes de rançon par courrier électronique aux organisations victimes, mais ici, ils exigent que les victimes entrent en contact. Cela pourrait être dû au fait que Clop lui-même ne peut pas suivre l’ampleur du piratage qui est toujours en cours de traitement dans le monde entier.

« Mon point de vue est qu’ils ont tellement de données qu’il leur est difficile de maîtriser tout cela. Ils parient que si vous le savez, vous les contacterez », a déclaré Amir Hadžipasić, PDG de SOS Intelligence.

MOVEit est fourni par Progress Software aux États-Unis pour permettre à de nombreuses entreprises de déplacer en toute sécurité des fichiers dans les systèmes de l’entreprise. Le fournisseur de services de paie Zellis, basé au Royaume-Uni, était l’un de ses utilisateurs.

Zellis a confirmé que huit organisations britanniques se sont fait voler des données, y compris des adresses personnelles, des numéros d’assurance nationale et, dans certains cas, des coordonnées bancaires. Toutes les entreprises n’ont pas eu les mêmes données exposées.

Les clients de Zellis qui ont été violés comprennent:

Le gouvernement de la Nouvelle-Écosse et l’Université de Rochester avertissent également le personnel que des données pourraient avoir été volées en raison de la vulnérabilité MOVEit.

Les experts conseillent aux individus de ne pas paniquer et aux organisations d’effectuer des contrôles de sécurité émis par des autorités telles que la Cyber Security and Infrastructure Authority aux États-Unis.

Clop affirme sur son site de fuite qu’il a supprimé toutes les données du gouvernement, de la ville ou des services de police.

« Ne vous inquiétez pas, nous avons effacé vos données, vous n’avez pas besoin de nous contacter. Nous n’avons aucun intérêt à exposer de telles informations », peut-on y lire.

Cependant, les chercheurs disent qu’il ne faut pas faire confiance aux criminels.

« L’affirmation de Clop, qui a supprimé des informations relatives aux organisations du secteur public, doit être prise avec des pincettes. Si les informations ont une valeur monétaire ou pourraient être utilisées pour le phishing, il est peu probable qu’ils les aient simplement éliminées », a déclaré Brett Callow, chercheur en menaces chez Emsisoft.

Les experts en cybersécurité ont longtemps suivi les exploits de Clop, qui serait basé en Russie car il opère principalement sur des forums russophones.

La Russie a longtemps été accusée d’être un refuge pour les gangs de ransomwares - ce qu’elle nie.

Cependant, Clop fonctionne comme un groupe de « ransomware en tant que service », ce qui signifie que les pirates peuvent louer leurs outils pour mener des attaques de n’importe où.

En 2021, des pirates présumés de Clop ont été arrêtés en Ukraine dans le cadre d’une opération conjointe entre l’Ukraine, les États-Unis et la Corée du Sud.

À l’époque, les autorités ont affirmé avoir démantelé le groupe qui, selon elles, était responsable de l’extorsion de 500 millions de dollars aux victimes du monde entier.

Mais Clop a continué d’être une menace persistante.

BBC, BA et Boots parmi les victimes du piratage de masse de la paie

Quelles mesures les personnes prises dans des piratages de masse peuvent-elles prendre?