Que s’est-il passé ?
En mai 2023, Progress a rendu publique une vulnérabilité dans MOVEit Transfer et MOVEit Cloud (CVE-2023-34362) qui pourrait conduire à une élévation des privilèges et à un potentiel accès non autorisé à l’environnement. Suite à cette découverte, Progress a enquêté, proposé des mesures d’atténuation et publié un correctif de sécurité, le tout dans un délai de 48 heures.
Malheureusement, pendant ce temps, des cybercriminels associés au groupe de ransomware Clop, affilié à la Russie, ont exploité la vulnérabilité et lancé une attaque de la chaîne d’approvisionnement contre les utilisateurs de MOVEit. Parmi eux figure le fournisseur de services de paie Zellis, qui a été le premier à signaler une faille de sécurité en juin 2023, bien que beaucoup d’autres aient été touchés. Jusqu’à présent, huit incidents de vol de données ont été signalés parmi ses clients, et on estime que des centaines d’autres seront également impactés.
Après l’attaque, le groupe de ransomware qui était motivé par des intérêts financiers a exigé un paiement pour empêcher la diffusion publique des données. Dans un message publié sur le Dark Web, ils ont déclaré : « Vous pouvez vous détendre, nous sommes les seuls à effectuer ce type d’attaque, vos données sont en sécurité. La procédure à suivre est la suivante. Faites attention à ne pas prendre de mesures particulières qui pourraient avoir un impact sur votre entreprise ».

Ransomware : to pay or not to pay ?
Les ransomwares représentent l’une des principales menaces pour la sécurité d’une entreprise. Au début, les attaques étaient menées par des entités uniques qui développaient et distribuaient un grand nombre de charges utiles automatisées sur des victimes choisies au hasard, et collectaient de petites sommes pour chaque attaque « réussie ». Aujourd’hui, ces attaques ont évolué pour devenir des processus essentiellement humains, menés par de multiples entités sur plusieurs semaines.
L’exploitation de MOVEit montre clairement que les groupes de ransomware privilégient désormais l’extorsion de données plutôt que leur chiffrement. Pourquoi ? Parce que les données non chiffrées ont plus de valeur. Elles peuvent tomber dans le domaine public presque immédiatement, ce qui signifie que les victimes voudront à tout prix les récupérer, quel que soit le prix à payer.
Bien que certains puissent considérer ces menaces comme étant vides, nous avons pu observer l’efficacité de cette approche dans le cas de l’assureur santé australien Medibank. Lorsqu’ils ont refusé de payer une rançon de 10 millions de dollars en octobre 2022, les attaquants ont diffusé des informations personnelles relatives à l’interruption de grossesse, à la toxicomanie et à l’alcoolisme, aux problèmes de santé mentale et à d’autres données médicales confidentielles.
La question est de savoir si les entreprises doivent payer ou pas. La plupart des experts estiment que le fait de payer les sommes demandées n’empêchera pas que d’autres incidents se produisent. Simon Newman, membre du conseil consultatif de l’International Cyber Expo, a déclaré à iNews : « Payer une rançon à des cybercriminels ne veut pas dire que toutes les données vous seront restituées. En réalité, dans la plupart des cas, cela est extrêmement rare et peut simplement vous exposer à de futures attaques de ransomware. » Plusieurs gouvernements, y compris ceux de l’Australie, du Royaume-Uni et des États-Unis, ont proposé des sanctions contre le paiement de ces groupes. Cela peut expliquer pourquoi les gains obtenus des ransomwares ont chuté de 40 % en 2022, pour atteindre 456,8 millions de dollars.

Une faille dans la chaîne d’approvisionnement
Cet incident illustre parfaitement à quel point la chaîne d’approvisionnement est féconde pour les cybercriminels. Selon un rapport de l’entreprise à but non lucratif Identity Theft Resource Center, les attaques contre la chaîne d’approvisionnement ont été plus nombreuses que les attaques basées sur des malwares (40 %) en 2022, avec plus de 10 millions de personnes et 1 743 entités impactées.
La plupart des entreprises investiront du temps et des ressources pour renforcer leur résilience face aux cyberattaques. Malheureusement, de nombreuses entreprises négligent d’évaluer le niveau de sécurité de leurs fournisseurs tiers ou ont une visibilité limitée sur les logiciels et les services qu’ils utilisent, ce qui rend la correction des vulnérabilités très difficile.
Pour agir de manière responsable, les entreprises doivent prendre en charge leur stratégie de cybersécurité, ce qui comprend notamment la compréhension des vulnérabilités des tiers comme si elles étaient les leurs. Ce point revêt une importance cruciale, car une attaque ne touche pas seulement la cible, mais également ses employés, dont les données sont désormais exposées. Lorsque des données personnelles sont compromises, les personnes concernées courent un plus grand risque d’être la cible d’autres attaques et de scams de phishing, car les cybercriminels espèrent voler des identifiants de connexion ou même des informations bancaires.
Les entreprises doivent absolument intégrer une stratégie de prévention et mettre en œuvre des contrôles plus stricts tels que la segmentation pour limiter l’impact d’une attaque, ainsi qu’une surveillance plus approfondie pour garantir un niveau de visibilité plus élevé sur les multiples vecteurs d’attaque, y compris le réseau et les utilisateurs.

Les protections de Check Point
Check Point IPS blade, Harmony Endpoint et Threat Emulation proposesnt une protection contre cette menace (MOVEit Transfer SQL Injection (CVE-2023-34362) ; Webshell.Win.Moveit, Ransomware.Win.Clop, Ransomware_Linux_Clop ; Exploit.Wins.MOVEit).