News
Cyberattaque MOVEit Transfer : Netwrix souligne la singularité de cet incident et l’utilisation abusive potentielle des informations exposées, comme le phishing et la fraude
novembre 2024 par Ilia Sotnikov, Security Strategist at Netwrix
Une cyberattaque exploitant la faille CVE-2023-34362 dans le logiciel MOVEit Transfer a permis à des cybercriminels de contourner les systèmes de sécurité pour accéder aux bases de données SQL du service. Cela a conduit à l’exfiltration de millions de données sensibles, incluant des informations sur les employés de grandes organisations mondiales telles qu’Amazon, HSBC et McDonald’s.
Pour Ilia Sotnikov, Security Strategist chez Netwrix, cette cyberattaque présente un caractère singulier avec des motivations floues, bien que les conséquences soient réelles pour les entreprises touchées :
« Cette dernière fuite semble inhabituelle et pourrait révéler l’ampleur des données personnelles détenues par les cybercriminels. Les fichiers exposés sur un forum du darknet contiennent des données prétendument volées à des entreprises lors de l’incident MOVEit, survenu il y a plus d’un an.
Il est très rare de voir des données volées refaire surface 12 à 18 mois après un incident. La motivation de la personne ou du groupe derrière cette publication récente reste floue. Jusqu’à présent, ils ont publié des informations volées de salariés dans 25 entreprises de divers secteurs : technologie, finance, santé, commerce de détail, etc. Selon des chercheurs en sécurité, les auteurs affirment ne pas être des pirates informatiques, avoir collecté les données à partir de sources ouvertes non sécurisées et vouloir attirer l’attention sur la négligence des entreprises en matière de protection de la vie privée de leurs employés. Ils prétendent également posséder des données de plus de 1 000 autres organisations et menacent de continuer à les publier dans les semaines à venir.
Ce n’est pas habituel de voir de telles actions différées après une fuite. Les cybercriminels motivés par des gains financiers cherchent généralement à exploiter les données dès qu’ils en ont l’opportunité. Par exemple, le groupe de ransomware Cl0p, lié à l’incident MOVEit, a commencé à exiger une rançon pour supprimer celles dérobées moins de deux semaines après la première publication de l’avis de sécurité. Les hacktivistes, eux, essaient également de créer un impact important et d’attirer l’attention sur leur cause le plus rapidement possible. Quant aux acteurs étatiques engagés dans cyber-espionnage, ils gardent souvent leurs actions secrètes, et il est rare que les données volées soient exposées.
Le fait préoccupant est que les fichiers exposés contiennent à la fois des données personnelles d’employés ainsi que des informations sur la hiérarchie interne et la structure des entreprises. Maintenant que ces fichiers sont accessibles à d’autres cybercriminels, ces informations seront probablement utilisées pour des attaques d’ingénierie sociale, des campagnes de phishing et des vols d’identité. Cela crée non seulement des risques pour les entreprises ou les employés directement touchés par la fuite, mais provoque également des effets en chaîne pour leurs homologues, partenaires et clients. »
