Des données sur pas moins de 100 000 membres du personnel de santé de la Nouvelle-Écosse auraient été volées

Les données d’au moins 100 000 employés du secteur de la santé de la Nouvelle-Écosse ont été volées en raison de la vulnérabilité de l’application de transfert de fichiers MOVEit de Progress Software, a annoncé mardi la province.  

Les données volées comprennent les numéros d’assurance sociale, les adresses et les informations bancaires des employés de Nova Scotia Health, de la fonction publique et du IWK Health Centre, qui est un important hôpital pédiatrique et centre de traumatologie. 

La province utilise MOVEit pour transférer les informations sur la paie. Elle a entrepris d’aviser les victimes. 

Le gang de rançongiciels Clop/Cl0p a déclaré à BleepingComputer qu’il était à l’origine des attaques de vol de données de MOVEit Transfer. Selon les équipes de sécurité de l’information exécutant le service Defender Threat Intelligence de Microsoft, Microsoft appelle ce groupe Lace Tempest. 

Selon la BBC, d’autres victimes incluent la BBC, British Airways, la chaîne de pharmacies britannique Boots et la compagnie aérienne irlandaise Aer Lingus. 

La vulnérabilité du jour zéro d’injection SQL a été annoncée par Progress Software le 31 mai. Les chercheurs de Mandiant pensent que la première preuve d’exploitation s’est produite le 27 mai, entraînant le déploiement de shells Web et le vol de données. Dans certains cas, selon les chercheurs, des données ont été volées quelques minutes après le déploiement de shells Web. 

La vulnérabilité est connue sous le nom de CVE-2023-34362. 

Au cours des deux dernières années et demie, les pirates ont exploité des failles dans les applications de transfert de fichiers, notamment GoAnywhere MFT, Apera Faspex d’IBM et Accelion FTA. 

De nombreux chercheurs affirment que les services informatiques qui n’ont pas installé le correctif immédiatement ou qui utilisaient des versions non affectées de la version sur site ou en nuage de MOVEit devraient supposer que leurs systèmes ont été compromis. 

Des chercheurs de Hunters Labs ont déclaré qu’au 1er juin, une analyse du Web à l’aide du moteur de recherche Shodan suggérait qu’il y avait plus de 2 500 serveurs accessibles au public sur Internet ouvert. 

Les chercheurs de Huntress ont créé un exploit qui lui a permis de recevoir un accès au shell avec Meterpreter, de passer à NT AUTHORITY\SYSTEM de Windows et de faire exploser une charge utile de rançongiciel Cl0p. « Cela signifie que tout adversaire non authentifié pourrait déclencher un exploit qui déploie instantanément un rançongiciel ou effectue toute autre action malveillante », concluent les chercheurs. « Du code malveillant s’exécuterait sous l’utilisateur du compte de service MOVEit moveitsvc, qui se trouve dans le groupe d’administrateurs locaux. L’attaquant pourrait désactiver les protections antivirus ou réaliser toute autre exécution de code arbitraire. » 

Les chercheurs de CrowdStrike affirment que le shell Web créé par un attaquant utilisera un compte d’utilisateur existant avec le niveau d’autorisation « 30 » ou un nouveau nom d’utilisateur généré aléatoirement pour établir une session persistante dans l’application MOVEit. Leur blog contient des instructions sur la manière dont les équipes de sécurité peuvent enquêter sur une éventuelle compromission. 

Les données volées pourraient être utilisées pour des attaques d’ingénierie sociale ou des rançons, a noté Tim West, responsable du renseignement sur les menaces chez WithSecure. Il a noté que British Airways a déclaré que les informations de paiement de ses employés avaient été volées, mais les organisations devraient s’attendre à ce que la majeure partie des données soit rançonnée et/ou téléchargée sur un site de fuite. 

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique. 

Adaptation et traduction française par Renaud Larue-Langlois. 

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Un groupe d’assurance dentaire avise près de 7 millions d’Américains d’un vol de données lié à MOVEit

Près de 7 millions de résidents américains ont été informés par un fournisseur d’assurance dentaire que leurs informations personnelles ont été volées lors de l'une des plus grandes attaques impliquant l'application de transfert de fichiers MOVEit.

L’Université de Sherbrooke victime d’une attaque de rançongiciel

L’université de Sherbrooke (UdeS) aurait été victime du gang de rançongiciel LockBit. C’est ce que rapportait Brett Callow, analyste des menaces chez Emsisoft, sur X (anciennement Twitter) jeudi dernier, avec capture d’écran à l’appui.

Les données d’employés actuels et anciens de la bibliothèque de Toronto volées lors d’une attaque de rançongiciel

Le réseau des bibliothèques publiques de Toronto a reconnu que le gang de rançongiciel qui l'a attaqué le mois dernier a volé des données personnelles identifiables d’employés.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.