De grands groupes britanniques, dont British Airways ou la BBC, ont été visés par une vaste cyberattaque, attribuée par la presse locale à des pirates russes, et au cours de laquelle des données de milliers d’employés ont été dérobées.
L’attaque visait Zellis, une entreprise britannique spécialiste de la gestion de paie et de ressources humaines, dont huit clients ont été affectés. “Un grand nombre d’entreprises à travers le monde ont été affectées par une vulnérabilité” dans le logiciel MOVEit, un système de transfert de fichiers automatisé fourni par l’américain Progress Software et utilisé par Zellis sur un serveur qui a depuis été déconnecté, assure l’entreprise mardi dans une déclaration transmise à l’AFP.
Mais celle-ci n’a jusqu’ici trouvé aucune preuve que des informations dérobées aient été rendues publiques ou utilisées illégalement, et le motif du vol de données n’est pas clair, aucun groupe n’en ayant revendiqué la responsabilité, a dit à l’AFP une source proche du dossier.
Progress Software avait dit la semaine dernière sur son site internet “avoir découvert une vulnérabilité dans MOVEit Transfer” ( (CVE-2023-34362) susceptible notamment d’entraîner “un accès non autorisé“, et recommandait à ses clients de “prendre des mesures immédiates“, notamment en “supprimant les fichiers et comptes d’utilisateurs non-autorisés“.
Jusqu’à 100 000 travailleurs britanniques” pourraient avoir été touchés
“Nous avons été informés que nous sommes l’une des entreprises touchées par l’incident de cybersécurité“, a confirmé British Airways à l’AFP. La BBC indique de son côté que les données volées comprenaient les numéros d’identification du personnel, les dates de naissance, les adresses personnelles et les numéros d’assurance nationale.
D’après le quotidien The Daily Telegraph, “jusqu’à 100 000 travailleurs britanniques” pourraient avoir été touchés. Selon The Daily Telegraph, les données compromises au sein de British Airways comptent également des coordonnées bancaires, et les pharmacies Boots ou encore la compagnie aérienne Aer Lingus ont aussi été touchées par l’attaque.
Le groupe de ransomware Clop à l’origine de l’attaque ?
“La cyberattaque semblait être liée à un groupe de cybercriminalité russophone appelé Clop“, poursuit le quotidien, citant des chercheurs dans le domaine de la sécurité, alors que les attaques attribuées à des groupes liées à la Russie se sont multipliées après le début de la guerre en Ukraine. Le Centre national sur la cybersécurité (NCSC), l’agence publique
britannique chargée notamment d’assister les victimes de cyberattaques, a indiqué de son côté “travailler pour comprendre pleinement l’impact au Royaume-Uni” de l’attaque.
AFP
Les actions à prendre immédiatement pour parer à la vulnérabilité qui affectent toutes les versions de MOVEit Transfer sont à lire sur le site de Progress. A commencer par la désactivation de tout le trafic HTTP et HTTPS vers votre environnement MOVEit Transfer.
Avis d’expert – Satnam Narang, Senior Staff Research Engineer chez Tenable
“Des rapports récents suggèrent que l’exploitation de la vulnérabilité zero-day dans MOVEit Transfer est attribuée au groupe de ransomware Clop. Ce n’est pas surprenant quand on sait que cela relève du modus operandi de Clop : ils ont également été responsables de l’exploitation de journées zéro dans d’autres solutions de transfert de fichiers comme CVE-2023-0669 dans GoAnywhere plus tôt cette année, et quatre vulnérabilités Acellion (CVE-2021-27101, CVE-2021-27102, CVE-2021-27103, CVE-2021-27104) à la fin de l’année 2020.
Clop existe depuis 2019, et bien que le groupe ait opéré en utilisant des tactiques d’extorsion doubles (chiffrement et exfiltration de données avec menace de publication des données volées), il a lentement pivoté vers une concentration sur l’exfiltration de données, comme en témoigne le ciblage des solutions de transfert de fichiers. Dans l’absolu, le chiffrement des données ne suffit pas à inciter les organisations victimes à payer les rançons exorbitantes qui leur sont demandées. En revanche, l’exfiltration des données et les menaces de publication des données volées ont beaucoup plus de poids et c’est en grande partie ce qui a permis aux groupes de double extorsion et de ransomware de remporter un tel succès.
Les solutions de transfert de fichiers sont une cible de choix pour le groupe de ransomware Clop, et il est probable qu’il cherche à exploiter sa prochaine cible dans un avenir proche.”
Juliette Paoli