Une vulnérabilité dans une plateforme d’échange professionnel a permis à Cl0p, un collectif de hackers, de lancer des cyberattaques à travers le monde. Les malfaiteurs ont dérobé les données de 26 entreprises en moins d’une journée.

On les avait presque oubliés. Cl0p ransomware a fait un retour en force dans le milieu cybercriminel, le 16 mars, en revendiquant les attaques contre 26 entreprises en moins de 24h. La faute à une vulnérabilité dans une plateforme d’échange de fichier, GoAnywhere MFT de la société Fortra. La faille a été découverte dans ce logiciel de transfert sécurisé en février et a été révélée par le journaliste expert en sécurité Brian Krebs.

Le collectif de hackers en a profité pour récupérer les codes d’exécution du système et dérober les fichiers des victimes. Plus de 130 entreprises auraient été attaquées au total, ont déclaré les cybercriminels au média américain Bleeping Computer. Le 16 mars, Cl0p annonce le piratage de 26 sociétés, dont plusieurs multinationales sur son site darknet.

Tous les fichiers n’ont pas encore été dévoilés, mais le collectif de cybercriminels vient de battre le record de revendication de piratage en 24h. Le précédent record était détenu par le collectif très prolifique Lockbit, avec la publication de 26 sociétés sur leur site. Or, la plupart de ces entreprises avaient seulement remis des fichiers à un prestataire informatique qui était la réelle victime.

La revendication de l'attaque contre Hitachi sur le site darknet. // Source : Numerama
La revendication de l’attaque contre Hitachi sur le site darknet. // Source : Numerama

Des multinationales touchées

Cette campagne d’attaque touche de nombreuses sociétés détenant des dossiers sensibles : la société de gestion de données cloud Rubrik, la société d’équipement énergétique Hitachi, l’un des plus importants groupe immobilier anglais, Guiness Partnershsip. Le média spécialisé CyberNews fait état d’autres victimes tout aussi importantes : le groupe pétrolier Shell et le constructeur aéronautique Bombardier. Les experts en cybersécurité ont pu consulter les dossiers et confirment qu’il s’agit bien de fichiers légitimes. Des sommes d’argent seront probablement exigées pour ne pas dévoiler les données.

Les entreprises utilisant le logiciel GoAnywhere de MFT doivent installer le dernier patch en ligne – disponible sur cette page à condition d’avoir les identifiants – pour corriger cette faille.

Cl0p ransomware est actif depuis 2019 et a connu une forte période d’activité pendant la pandémie. Six des membres du gang ont été arrêtés par les autorités ukrainiennes en 2021 – mais contrairement aux attentes, cette opération n’a pas mis fin au collectif. Les conséquences de l’exploitation de cette vulnérabilité ne sont pas encore toutes révélées et d’autres attaques seront probablement dévoilées.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !