Certains articles de veille peuvent faire l'objet de traduction automatique.
Cybersécurité aux États-Unis Des responsables ont déclaré hier qu’un « petit nombre » d’agences gouvernementales ont subi des violations de données dans le cadre d’une vaste campagne de piratage qui est probablement menée par le gang de rançongiciels Clop basé en Russie. Le groupe cybercriminel s’est empressé d’exploiter une vulnérabilité du service de transfert de fichiers MOVEit pour récupérer des données précieuses sur des victimes telles que Shell, British Airways et la BBC. Mais atteindre les cibles du gouvernement américain ne fera qu’accroître l’examen minutieux des cybercriminels par les forces de l’ordre mondiales dans le cadre de la frénésie de piratage déjà très médiatisée.
Progress Software, propriétaire de MOVEit, patché la vulnérabilité à la fin du mois de mai, et la US Cybersecurity and Infrastructure Security Agency a publié un avis avec le Federal Bureau of Investigation le 7 juin mettant en garde contre l’exploitation de Clop et le besoin urgent pour toutes les organisations, publiques et privées, de corriger la faille. Un haut responsable de la CISA a déclaré hier aux journalistes que toutes les instances MOVEit du gouvernement américain avaient maintenant été mises à jour.
Les responsables de la CISA ont refusé de dire quelles agences américaines sont victimes de la frénésie, mais ils ont confirmé que le ministère de l’Énergie a informé la CISA qu’il en faisait partie. CNN, qui signalé pour la première fois les attaques contre les agences gouvernementales américaines, rapporté plus loin aujourd’hui que la frénésie de piratage a eu un impact sur les permis de conduire et les données d’identification des États de Louisiane et de l’Oregon pour des millions de résidents. Clop a également revendiqué le mérite des attaques contre les gouvernements des États du Minnesota et de l’Illinois.
« Nous fournissons actuellement un soutien à plusieurs agences fédérales qui ont subi des intrusions affectant leurs applications MOVEit », a déclaré jeudi à la presse la directrice de la CISA, Jen Easterly. « Sur la base des discussions que nous avons eues avec des partenaires de l’industrie dans le cadre de la Joint Cyber Defense Collaborative, ces intrusions ne sont pas exploitées pour obtenir un accès plus large, pour gagner en persistance dans des systèmes ciblés ou pour voler des informations spécifiques de grande valeur – en somme, comme nous le comprenons cela, cette attaque est en grande partie opportuniste.
Easterly a ajouté que la CISA n’a pas vu Clop menacer de divulguer des données volées au gouvernement américain. Et le haut responsable de la CISA, qui s’est entretenu avec des journalistes à condition qu’ils ne soient pas nommés, a déclaré que la CISA et ses partenaires ne voient actuellement aucune preuve que Clop se coordonne avec le gouvernement russe. Pour sa part, Clop a maintenu qu’il se concentrait sur le ciblage des entreprises et supprimerait toutes les données des gouvernements ou des forces de l’ordre.
Clop est apparu en 2018 en tant qu’acteur de rançongiciel standard qui chiffrerait les systèmes d’une victime, puis exigerait un paiement pour fournir la clé de déchiffrement. Le gang des rançongiciels est également connu pour trouver et exploiter les vulnérabilités de logiciels et d’équipements largement utilisés pour voler des informations à diverses entreprises et institutions, puis lancer des campagnes d’extorsion de données à leur encontre.
Allan Liska, analyste pour la société de sécurité Recorded Future, spécialisée dans les ransomwares, a déclaré que Clop avait « modérément réussi » avec l’approche des ransomwares. Cependant, il s’est finalement différencié en s’éloignant des rançongiciels basés sur le chiffrement et en se tournant vers son modèle actuel de développement d’exploits pour les vulnérabilités des logiciels d’entreprise, puis en les utilisant pour effectuer des vols de masse de données.
Et bien qu’il n’y ait peut-être pas de coordination directe entre le Kremlin et Clop, des recherches ont montré à plusieurs reprises des liens entre le gouvernement russe et des groupes de rançongiciels. Selon cet arrangement, ces syndicats peuvent opérer depuis la Russie en toute impunité tant qu’ils ne ciblent pas de victimes à l’intérieur du pays et s’en remettent à l’influence du Kremlin. Alors, Clop supprime-t-il vraiment les données qu’il recueille, même accidentellement, auprès des victimes du gouvernement ?
« Nous ne pensons pas que les agences gouvernementales américaines aient été spécifiquement ciblées. Clop a simplement frappé n’importe quel serveur vulnérable exécutant le logiciel », déclare Liska à propos de la campagne MOVEit. « Mais il est fort probable que toutes les informations que Clop a recueillies auprès du gouvernement américain ou d’autres cibles intéressantes aient été partagées avec le Kremlin. »
Poster un commentaire