Comme les noms des premières victimes connues de l'exploitation du jour zéro MOVEit a commencé à arriver le 4 juin, Microsoft a lié la campagne à la tenue du rançongiciel Cl0p, qu'il appelle "Lace Tempest". Il s’agit donc simplement de la dernière d’une série de cyberattaques très similaires lancées par le gang contre divers services de transfert de fichiers.
Depuis le 1er juin, lorsque Progress Software a annoncé une vulnérabilité zero-day Dans le cadre de son programme de transfert de fichiers MOVEit, les chercheurs et les organisations potentiellement concernées ont tenté de recoller les morceaux. Analyse de Mandiant a suggéré que les pirates avaient commencé à exploiter le jour zéro dès le samedi 27 mai précédent, tandis que la société de renseignement sur les menaces Greynoise signalé avoir observé "activité d'analyse de la page de connexion de MOVEit Transfer située à /human.aspx dès le 3 mars 2023."
Ce n’est qu’au cours des dernières 24 heures que certaines victimes notables de cette campagne ont commencé à être révélées. Le gouvernement de la Nouvelle-Écosse est j'essaie actuellement d'évaluer quelle quantité de données de ses citoyens a été volée, et une violation chez Zellis, une société de paie britannique, a entraîné des compromissions en aval pour certains de ses clients de premier plan, notamment Boots, la BBCet British Airways.
En ce qui concerne l'attribution, depuis le 2 juin, Mandiant traitait les auteurs comme un groupe potentiellement nouveau, avec des liens potentiels avec le gang de cybercriminalité FIN11, connu pour ses campagnes de ransomware et d'extorsion et son statut d'affilié Clop. UN tweet publié dimanche soir par Microsoft a proposé une conclusion plus définitive :
"Microsoft attribue des attaques exploitant le CVE-2023-34362 MOVEit Transfer Vulnérabilité 0 jour vers Lace Tempest, connu pour ses opérations de ransomware et l'exécution du site d'extorsion Clop. L'acteur malveillant a utilisé des vulnérabilités similaires dans le passé pour voler des données et extorquer des victimes", peut-on lire dans le tweet.
"Cet acteur menaçant est celui que nous suivons depuis des années", a déclaré Microsoft à Dark Reading. C'est "un groupe bien connu responsable d'un nombre important de menaces au fil des ans. Lace Tempest (chevauchements avec FIN11, TA505) est une force dominante dans le paysage émergent des ransomwares et de l’extorsion. »
Comment les organisations concernées devraient répondre à CVE-2023-34362
Pour John Hammond, chercheur principal en sécurité chez Huntress qui a été suivi de la vulnérabilité la semaine dernière, l'attribution de Microsoft soulève des inquiétudes majeures pour les victimes. "Je ne sais pas ce qui va se passer ensuite. Nous n'avons pas encore vu de demandes de ransomware, d'extorsion ou de chantage. Je ne sais pas si nous attendons, ni ce qui va se passer ensuite", se demande-t-il.
Le 2 juin, Progress Software a publié un correctif pour CVE-2023-34362. Mais avec des preuves suggérant que les attaquants l'exploitaient déjà dès le 27 mai, voire le 3 mars, il ne suffit pas de simplement appliquer des correctifs pour que les clients existants soient considérés comme sûrs.
D’une part, toutes les données déjà volées peuvent être utilisées dans des attaques ultérieures. Comme le souligne Microsoft, "il y a eu deux types de victimes de Lace Tempest. Les premières sont les victimes avec un serveur exploité sur lequel un shell Web a été déposé (et avec lequel il a pu interagir pour effectuer une reconnaissance). Le deuxième type sont les victimes pour lesquelles Lace Tempest a volé données." Nous prévoyons que leur prochaine action sera l'extorsion de victimes ayant subi un vol de données. »
Au strict minimum, Hammond conseille aux clients non seulement de mettre à jour les correctifs, mais également de « parcourir ces journaux, de voir quels artefacts s'y trouvent, de voir si vous pouvez supprimer d'autres crochets et griffes. Même si vous appliquez un correctif, assurez-vous que le shell Web a " a été supprimé et supprimé. C'est une question de diligence raisonnable ici. "
Services de transfert de fichiers sous le feu des cyberattaques
Aucun nettoyage de MOVEit ne permettra de remédier à un problème sous-jacent plus profond qui semble se poser ces derniers temps : il est clair que les groupes de pirates informatiques ont identifié les services de transfert de fichiers comme une mine d'or pour la cybercriminalité financière.
Il y a quelques mois à peine, les cybercriminels ont envahi Aspera Faspex d'IBM. Un mois auparavant, Cl0p avait exécuté une campagne présentant une similitude frappante avec l'effort de la semaine dernière, cette fois-là. contre le service GoAnywhere de Fortra. Ce n'était même pas la première incursion de Cl0p dans les violations de transfert de fichiers — des années auparavant, ils avaient fait la même chose avec Accelion.
Les entreprises qui transfèrent des données sensibles avec ces services devront trouver une solution à plus long terme à ce qui s'avère être un problème endémique. Cependant, on ne sait pas exactement quelle sera cette solution à plus long terme.
Hammond recommande « d'essayer de limiter votre surface d'attaque ». Tout ce que nous pouvons faire pour réduire les logiciels dont nous n'avons pas besoin ou les applications qui pourraient être gérées de manière meilleure et plus moderne. Ce sont peut-être, je pense, les meilleurs mots. de conseil pour le moment autre que : patch."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.darkreading.com/application-security/microsoft-links-moveit-attack-cl0p-british-airways-fall
- :possède
- :est
- :ne pas
- :où
- $UP
- 1
- 2023
- 24
- 27
- 3rd
- a
- activité
- conseils
- Affiliation
- à opposer à
- Airways
- déjà
- aussi
- montant
- an
- ainsi que
- anticiper
- tous
- applications
- SONT
- autour
- AS
- At
- attaquer
- Attaques
- RETOUR
- bbc
- BE
- était
- before
- commencé
- LES MEILLEURS
- Améliorée
- Chantage
- Bottes
- violation
- infractions
- Britannique
- British Airways
- mais
- by
- Appels
- Campagne
- Les Campagnes
- CAN
- causé
- Citoyens
- clair
- CLIENTS
- CO
- comment
- Venir
- Société
- concerné
- Préoccupations
- conclusion
- Conduire
- considéré
- pourriez
- Clients
- cyber
- cyber-attaques
- la cybercriminalité
- Foncé
- Lecture sombre
- données
- profond
- définitive
- demandes
- DID
- diligence
- do
- dominant
- Don
- chuté
- deux
- "Early Bird"
- effort
- non plus
- économies émergentes.
- assez
- Ether (ETH)
- Pourtant, la
- preuve
- exactement
- réalisé
- existant
- expérimenté
- Exploités
- extorsion
- Automne
- few
- Déposez votre dernière attestation
- la traduction de documents financiers
- Trouvez
- Ferme
- Prénom
- Abonnement
- Pour
- Incursion
- Force
- de
- Gang
- Go
- aller
- Gouvernement
- Réservation de groupe
- Groupes
- pirate
- les pirates
- ait eu
- arriver
- Vous avez
- he
- ici
- haut profil
- Crochets
- HEURES
- Comment
- HTTPS
- i
- IBM
- identifié
- if
- in
- Y compris
- Intelligence
- développement
- Publié
- IT
- SES
- John
- jpg
- juin
- Savoir
- connu
- paysage d'été
- Nom de famille
- Nouveautés
- lumière
- LIMIT
- lié
- Gauche
- situé
- vous connecter
- majeur
- faire
- FAIT DU
- Mars
- Matière
- Mai..
- seulement
- Microsoft
- minimum
- miroir
- Villas Modernes
- moment
- Mois
- mois
- PLUS
- Bougez
- beaucoup
- noms
- Besoin
- next
- nist
- notable
- roman
- nombre
- of
- présenté
- on
- ONE
- uniquement
- Opérations
- or
- organisations
- Autre
- ande
- plus de
- page
- passé
- Pièce
- patcher
- Paie
- en particulier pendant la préparation
- pièces
- Platon
- Intelligence des données Platon
- PlatonDonnées
- des notes bonus
- défaillances
- l'éventualité
- Avant
- Problème
- Programme
- Progrès
- publié
- soulève
- ransomware
- RE
- Lire
- en cours
- recommande
- réduire
- supprimez
- Supprimé
- chercheur
- chercheurs
- Réagir
- responsables
- Roulent
- pour le running
- s
- des
- même
- samedi
- balayage
- Deuxièmement
- sécurité
- sur le lien
- semble
- vu
- supérieur
- sensible
- Services
- coquillage
- devrait
- significative
- similaires
- simplement
- depuis
- site
- Séance
- Logiciels
- sur mesure
- quelques
- j'ai commencé
- Statut
- volé
- Chaîne
- suggérer
- Surface
- raconte
- que
- qui
- La
- vol
- leur
- Là.
- Ces
- l'ont
- chose
- penser
- this
- ceux
- bien que?
- menace
- renseignements sur les menaces
- des menaces
- Avec
- fiable
- à
- circulation
- transférer
- traitement
- Essai
- Tournant
- Tweet
- deux
- type
- Uk
- sous
- sous-jacent
- d'utiliser
- divers
- Ve
- très
- victimes
- vulnérabilités
- vulnérabilité
- Attendre
- était
- était
- Façon..
- we
- web
- semaine
- bien connu
- ont été
- Quoi
- quelle que soit
- quand
- qui
- tout en
- WHO
- sera
- avec
- des mots
- années
- encore
- you
- Votre
- zéphyrnet