Près de 7 millions de résidents américains ont été informés par un fournisseur d’assurance dentaire que leurs informations personnelles ont été volées lors de l’une des plus grandes attaques impliquant l’application de transfert de fichiers MOVEit.
Delta Dental de Californie et ses filiales, qui fournissent des prestations dentaires aux particuliers par l’intermédiaire de groupes commerciaux, ont déclaré que l’attaquant avait copié les noms des abonnés, leur numéro de compte Delta Financial ou leurs numéros de carte de crédit/débit, ainsi que les codes d’accès de sécurité, les mots de passe ou les NIP associés aux comptes. Dans certains cas, les numéros de passeport ont également été copiés.
Selon les chiffres suivis par Emsisoft, il s’agit du troisième plus grand vol de données confirmé publiquement par une entreprise individuelle jusqu’à présent. Le plus important est celui de Maximus Inc., un fournisseur de services du gouvernement américain, qui a déclaré que des informations sur 11,3 millions de personnes avaient été volées dans son système de transfert de fichiers MOVEit.
Le groupe de rançongiciel Clop/Cl0p s’est attribué le mérite d’avoir découvert et exploité une vulnérabilité du jour zéro lui permettant de contourner l’authentification multifacteur sur les versions sur site et infonuagique de l’application MOVEit de Progress Software.
La vulnérabilité, CVE-2023-34362, s’est vu attribuer un indice de gravité de 9,8 sur 10.
Les organisations basées aux États-Unis représentent 78,4 pour cent des victimes connues, selon Emsisoft, 13,8 pour cent étant au Canada et 1,4 pour cent en Allemagne. Les secteurs les plus touchés sont l’éducation (40,0 pour cent), la santé (19,6 pour cent) et la finance et les services professionnels (12,7 pour cent).
Selon les chercheurs de Kroll LLC, la technique de compromission la plus courante impliquait l’exécution d’un shell Web pour injecter une session ou créer un compte malveillant. À partir de là, les cybercriminels ont pu se réauthentifier et utiliser l’application MOVEit elle-même pour transférer des fichiers.
Cependant, dans quelques cas, l’attaquant a transmis trois variables au shell Web : l’ID de l’organisation, l’ID du dossier et le nom du fichier. À partir de là, le shell Web a utilisé les appels de l’API MOVEit pour l’énumération des fichiers et l’exfiltration des données. Un script Python a été utilisé pour exfiltrer les données lors de la première vague d’attaques coordonnées et largement automatisées sur les serveurs MOVEit.
L’analyse criminalistique de Kroll a également constaté une activité suggérant que le gang Clop expérimentait probablement avec des moyens d’exploiter cette vulnérabilité particulière dès 2021.
Adaptation et traduction française par Renaud Larue-Langlois.
