BBC, BA et Boots lancent un ultimatum au cybergang Clop

Aug 18, 2023

Un gang prolifique de cybercriminalité qui serait basé en Russie a lancé un ultimatum aux victimes d'un piratage qui a frappé des organisations du monde entier.

Le groupe Clop a publié un avis sur le dark web avertissant les entreprises concernées par le piratage MOVEit de leur envoyer un e-mail avant le 14 juin ou les données volées seront publiées.

Plus de 100 000 employés de la BBC, de British Airways et de Boots ont été informés que des données de paie pourraient avoir été prises.

Les employeurs sont priés de ne pas payer si les pirates exigent une rançon.

La recherche sur la cybersécurité avait précédemment suggéré que Clop pourrait être responsable du piratage annoncé pour la première fois la semaine dernière.

Les criminels ont trouvé un moyen de s'introduire dans un logiciel d'entreprise populaire appelé MOVEit et ont ensuite pu utiliser cet accès pour accéder aux bases de données de centaines d'autres entreprises.

Les analystes de Microsoft ont déclaré lundi qu'ils pensaient que Clop était à blâmer, sur la base des techniques utilisées dans le piratage.

Cela a maintenant été confirmé dans un long article de blog écrit dans un anglais approximatif.

Le message, vu par la BBC, se lit comme suit : "Ceci est une annonce pour informer les entreprises qui utilisent le produit Progress MOVEit que la chance est que nous téléchargions une grande partie de vos données dans le cadre d'un exploit exceptionnel."

Le message continue en exhortant les organisations de victimes à envoyer un e-mail au gang pour entamer une négociation sur le portail darknet de l'équipage.

Il s'agit d'une tactique inhabituelle car les pirates informatiques envoient normalement des demandes de rançon par courrier électronique aux organisations de victimes, mais ici, ils exigent que les victimes entrent en contact. Cela pourrait être dû au fait que Clop lui-même ne peut pas suivre l'ampleur du piratage qui est toujours en cours de traitement dans le monde.

"Je pense qu'ils ont tellement de données qu'il leur est difficile de tout maîtriser. Ils parient que si vous savez, vous les contacterez", déclare Amir Hadžipasić, PDG de SOS Intelligence.

MOVEit est fourni par Progress Software aux États-Unis pour de nombreuses entreprises afin de déplacer en toute sécurité des fichiers dans les systèmes de l'entreprise. Le fournisseur de services de paie Zellis, basé au Royaume-Uni, était l'un de ses utilisateurs.

Zellis a confirmé que huit organisations britanniques se sont fait voler des données, notamment des adresses personnelles, des numéros d'assurance nationale et, dans certains cas, des coordonnées bancaires. Toutes les entreprises n'ont pas eu les mêmes données exposées.

Les clients de Zellis qui ont été piratés comprennent :

Le gouvernement de la Nouvelle-Écosse et l'Université de Rochester avertissent également le personnel que des données pourraient avoir été volées en raison de la vulnérabilité MOVEit.

Les experts conseillent aux particuliers de ne pas paniquer et aux organisations d'effectuer des contrôles de sécurité émis par des autorités telles que la Cyber ​​Security and Infrastructure Authority aux États-Unis.

Clop affirme sur son site de fuite qu'il a supprimé toutes les données des services gouvernementaux, municipaux ou de police.

"Ne vous inquiétez pas, nous avons effacé vos données, vous n'avez pas besoin de nous contacter. Nous n'avons aucun intérêt à exposer de telles informations", lit-on.

Cependant, les chercheurs disent que les criminels ne sont pas dignes de confiance.

"L'affirmation de Clop selon laquelle les informations relatives aux organisations du secteur public ont été supprimées doit être prise avec des pincettes. Si les informations ont une valeur monétaire ou pourraient être utilisées pour le phishing, il est peu probable qu'elles les aient simplement éliminées", a déclaré Brett Callow, menace chercheur de l'Emsisoft.

Les experts en cybersécurité traquent depuis longtemps les exploits de Clop, qui serait basé en Russie car il opère principalement sur des forums russophones.

La Russie a longtemps été accusée d'être un refuge pour les gangs de rançongiciels - ce qu'elle nie.

Cependant, Clop fonctionne comme un groupe de "ransomware en tant que service", ce qui signifie que les pirates peuvent louer leurs outils pour mener des attaques de n'importe où.

En 2021, des pirates présumés de Clop ont été arrêtés en Ukraine dans le cadre d'une opération conjointe entre l'Ukraine, les États-Unis et la Corée du Sud.

À l'époque, les autorités ont affirmé avoir démantelé le groupe qui, selon elles, était responsable d'avoir extorqué 500 millions de dollars à des victimes du monde entier.

Mais Clop a continué d'être une menace persistante.

BBC, BA et Boots parmi les victimes du piratage massif de la paie

Quelles mesures peuvent prendre ceux qui sont pris dans des hacks de masse ?