Table des matières
L'exploitation de la vulnérabilité du logiciel de transfert MOVEit expose les données sensibles des entreprises britanniques et met en danger la sécurité des employés
Plusieurs sociétés britanniques de premier plan, dont la BBC, British Airways, Boots et Aer Lingus, ont été victimes d'un cyberincident important. La violation a exposé les informations personnelles des employés, y compris des données sensibles telles que les coordonnées bancaires et de contact, à des pirates informatiques malveillants. Cette faille de cybersécurité a été attribuée à un groupe de rançongiciels connu sous le nom de Clop, qui ciblait spécifiquement les vulnérabilités du logiciel de transfert de fichiers MOVEit. L'incident a soulevé des inquiétudes concernant la sécurité des données de l'entreprise et l'impact potentiel sur les employés concernés.
Dans une déclaration audacieuse envoyée par e-mail à Reuters, les pirates ont fièrement revendiqué la responsabilité de l'attaque, lançant un avertissement effrayant selon lequel ceux qui osaient défier leurs demandes de rançon seraient exposés au public sur le site Web de leur groupe. Des enquêtes antérieures de Microsoft avaient déjà pointé du doigt un gang de rançongiciels russophones, faisant allusion à leur implication dans l'incident. La révélation choquante s'est déroulée la semaine dernière lorsque des experts en cybersécurité ont dévoilé l'exploitation d'une vulnérabilité zero-day - une faille dangereuse - dans le système de transfert de fichiers largement utilisé connu sous le nom de MOVEit, développé par Progress Software. Cette vulnérabilité a été la passerelle permettant aux cybercriminels d'infiltrer et d'extraire des informations sensibles de nombreuses entreprises mondiales s'appuyant sur MOVEit Transfer.
D'innombrables organisations sont victimes de l'impact généralisé
La révélation choquante s'est déroulée lundi alors que le fournisseur de paie basé au Royaume-Uni, Zellis, a confirmé que huit de ses clients avaient été victimes du cyberincident. Bien que les noms des organisations concernées n'aient pas été divulgués, British Airways (BA) a reconnu son implication dans la situation pénible. Avec un effectif de 34 000 personnes au Royaume-Uni, l'exposition de la compagnie aérienne à la violation est profondément préoccupante.
La BBC et Boots, connues pour leur vaste personnel de 50 000 employés, se sont également retrouvées empêtrées dans le chaos. Alors que le diffuseur a exprimé son soulagement que les coordonnées bancaires de ses employés soient restées sécurisées, l'identification de l'entreprise et les numéros d'assurance nationale ont été compromis. Aer Lingus, une filiale de BA, a confirmé que l'incident avait touché à la fois des membres actuels et anciens du personnel. Cependant, aucune information financière ou bancaire ou numéro de téléphone n'a été compromis lors de cet événement alarmant.
La vulnérabilité zero-day du produit MOVEit Transfer de Progress Software a eu un impact significatif sur de nombreuses entreprises dans le monde. Cependant, les responsables de l'entreprise ont souligné que tous les logiciels appartenant à Zellis ne sont pas affectés et qu'aucun incident ou compromis n'a été signalé concernant tout autre aspect de son infrastructure informatique.
Plonger dans les origines de l'attaque : un groupe de menaces avec des liens russes potentiels
Les découvertes récentes de la société de cybersécurité Maidant ont mis en lumière les origines de l'attaque, l'identifiant comme un "groupe de menaces nouvellement créé" appelé UNC4857. Ce cluster comprend des groupes cybercriminels connus, tels que FIN11 , TA505 et Clop , qui ont établi des liens avec la Russie. Cependant, le motif de l'attaque, qu'il soit motivé par des objectifs politiques ou financiers, reste incertain. Alors que FIN11 fonctionnait auparavant uniquement comme une organisation criminelle impliquée dans la rançon de données, cela soulève la question de savoir si ces réseaux criminels familiers sont derrière l'incident ou si des cybermercenaires aux motivations idéologiques sont impliqués.
Fait intéressant, l'éventail des victimes touchées par l'attaque MOVEit s'étend au-delà des cibles attendues. Le gouvernement de la Nouvelle-Écosse, une cible peu probable pour un acteur soutenu par l'État, a également été victime. Les rapports indiquent que l'attaque avait le potentiel de compromettre environ 2 500 serveurs MOVEit, amplifiant l'ampleur et l'impact de la violation. Ipswitch, le développeur de logiciels de gestion informatique, n'a pas encore divulgué le nombre d'entreprises utilisant son logiciel au moment de l'incident avant de mettre en œuvre un correctif.
Ce qui nous attend pour les victimes : implications et perspectives
Au fur et à mesure que la situation évolue, les organisations de victimes doivent se préparer à d'éventuelles tentatives d'extorsion, à l'exposition publique de données volées et à la possibilité d'être publiquement humiliées par l'auteur de la menace. Il est probable que les cybercriminels entreront bientôt en contact avec leurs victimes, en faisant des demandes d'extorsion et en ciblant systématiquement les personnes figurant sur leur liste. Pour se prémunir contre d'autres dommages, il est recommandé à toutes les organisations, quel que soit le moment où le logiciel a été corrigé, de procéder à une analyse médico-légale approfondie de leurs systèmes si l'interface Web MOVEit a été exposée à Internet.
Dévoilement de la faille de cybersécurité : BA, BBC et Boots exposent leurs coordonnées bancaires captures d'écran
