Le groupe Clop, un important groupe de cybercriminels dont on suppose qu’il est basé en Russie, a fait part de ses exigences aux victimes d’un piratage qui a touché des organisations du monde entier.
Ce clan de cybercriminels a publié sur le dark web un avis informant les entreprises touchées par le piratage de MOVEit de leur envoyer un courriel avant le 14 juin, faute de quoi leurs données volées seront publiées en ligne.
À la BBC, chez British Airways et chez Boots, plus de 100 000 employés ont été informés que leurs données salariales avaient pu être dérobées. Les employeurs ne doivent pas payer au cas où les pirates exigeraient une rançon.
Des recherches sur la cybersécurité ont déjà indiqué que Clop pourrait être à l’origine du piratage qui a été déclaré pour la première fois la semaine dernière.
Les pirates ont réussi à accéder à MOVEit, un logiciel commercial bien connu qui leur a permis d’accéder aux bases de données de plusieurs entreprises. Lundi, les analystes de Microsoft ont déclaré que Clop était responsable du piratage en se basant sur la manière dont le piratage a été exécuté. Cela vient d’être vérifié dans un blog élaboré, rédigé dans un anglais approximatif.
Le blog indique : “Il s’agit d’une annonce visant à informer les entreprises qui utilisent le produit Progress MOVEit qu’il est possible que nous téléchargions une grande partie de vos données dans le cadre de l’exploit exceptionnel”. Dans ce billet, les organisations victimes sont invitées à envoyer un courriel au gang pour entamer des négociations sur le portail du gang sur le dark web.
Il s’agit d’une technique atypique, car les demandes de rançon sont généralement envoyées par courriel aux organisations victimes par les pirates, mais ici, ils ont demandé aux victimes de les contacter. Cela peut s’expliquer par le fait que Clop n’est pas en mesure de faire face à l’ampleur du piratage, qui est toujours en cours dans le monde entier.
Amir Hadžipasic, PDG de SOS Intelligence, a déclaré : “Je pense qu’ils ont tellement de données qu’il leur est difficile de les maîtriser. Ils font le pari que si vous êtes au courant, vous les contacterez”.
Aux États-Unis, Progress Software fournit MOVEit à plusieurs entreprises pour qu’elles puissent transférer des fichiers en toute sécurité au sein des systèmes de l’entreprise. Zellis, un fournisseur de services de paie basé au Royaume-Uni, figurait parmi ses utilisateurs.
Selon Zellis, huit organisations britanniques se sont fait voler des données, notamment leurs adresses personnelles, leurs numéros d’assurance nationale et, dans certains cas, leurs coordonnées bancaires. Les mêmes données n’ont pas été volées à toutes les entreprises. Parmi les clients de Zellis victimes du piratage figurent la BBC, British Airways, Aer Lingus et Boots.
Les employés du gouvernement de la Nouvelle-Écosse et de l’université de Rochester ont également été avertis du vol de données par le biais de la faiblesse de MOVEit.
Des experts ont conseillé aux gens de ne pas paniquer et aux organisations de prendre les mesures de sécurité ordonnées par des autorités telles que la Cyber Security and Infrastructure Authority (Autorité pour la sécurité et l’infrastructure cybernétique) aux États-Unis.
Clop a déclaré sur son portail de fuites que toutes les données acquises auprès du gouvernement, de la ville ou des services de police ont été supprimées. On peut y lire : “Ne vous inquiétez pas, nous avons effacé vos données, vous n’avez pas besoin de nous contacter. Nous n’avons aucun intérêt à divulguer de telles informations”.
Cependant, les chercheurs pensent qu’il ne faut pas faire confiance aux pirates informatiques.
Brett Callow, chercheur en menaces chez Emsisoft, a déclaré : “L’affirmation de Clop selon laquelle il aurait effacé des informations relatives à des organisations du secteur public doit être prise avec des pincettes. Si ces informations ont une valeur monétaire ou peuvent être utilisées pour du phishing, il est peu probable qu’elles aient été simplement supprimées”.
Les experts en cybersécurité suivent depuis longtemps les exploits de Clop, dont on pensait qu’il se trouvait en Russie car il fonctionnait à partir de forums russophones. Depuis longtemps, la Russie est accusée de servir d’asile aux gangs de ransomwares, bien qu’elle le nie.
Cependant, Clop fonctionne comme un groupe de “ransomware en tant que service”, qui permet aux pirates de louer des outils utilisés pour exécuter des attaques dans le monde entier.
En Ukraine, des pirates ont été arrêtés en 2021 dans le cadre d’une opération conjointe menée par l’Ukraine, les États-Unis et la Corée du Sud.
À l’heure actuelle, les autorités ont déclaré que le groupe de cybercriminels avait été démantelé et qu’il était responsable de l’extraction de 500 millions de dollars à des organisations victimes dans le monde entier, mais Clop reste une menace constante.
