Les données d’au moins 100 000 employés du secteur de la santé de la Nouvelle-Écosse ont été volées en raison de la vulnérabilité de l’application de transfert de fichiers MOVEit de Progress Software, a annoncé mardi la province.
Les données volées comprennent les numéros d’assurance sociale, les adresses et les informations bancaires des employés de Nova Scotia Health, de la fonction publique et du IWK Health Centre, qui est un important hôpital pédiatrique et centre de traumatologie.
La province utilise MOVEit pour transférer les informations sur la paie. Elle a entrepris d’aviser les victimes.
Le gang de rançongiciels Clop/Cl0p a déclaré à BleepingComputer qu’il était à l’origine des attaques de vol de données de MOVEit Transfer. Selon les équipes de sécurité de l’information exécutant le service Defender Threat Intelligence de Microsoft, Microsoft appelle ce groupe Lace Tempest.
Selon la BBC, d’autres victimes incluent la BBC, British Airways, la chaîne de pharmacies britannique Boots et la compagnie aérienne irlandaise Aer Lingus.
La vulnérabilité du jour zéro d’injection SQL a été annoncée par Progress Software le 31 mai. Les chercheurs de Mandiant pensent que la première preuve d’exploitation s’est produite le 27 mai, entraînant le déploiement de shells Web et le vol de données. Dans certains cas, selon les chercheurs, des données ont été volées quelques minutes après le déploiement de shells Web.
La vulnérabilité est connue sous le nom de CVE-2023-34362.
Au cours des deux dernières années et demie, les pirates ont exploité des failles dans les applications de transfert de fichiers, notamment GoAnywhere MFT, Apera Faspex d’IBM et Accelion FTA.
De nombreux chercheurs affirment que les services informatiques qui n’ont pas installé le correctif immédiatement ou qui utilisaient des versions non affectées de la version sur site ou en nuage de MOVEit devraient supposer que leurs systèmes ont été compromis.
Des chercheurs de Hunters Labs ont déclaré qu’au 1er juin, une analyse du Web à l’aide du moteur de recherche Shodan suggérait qu’il y avait plus de 2 500 serveurs accessibles au public sur Internet ouvert.
Les chercheurs de Huntress ont créé un exploit qui lui a permis de recevoir un accès au shell avec Meterpreter, de passer à NT AUTHORITY\SYSTEM de Windows et de faire exploser une charge utile de rançongiciel Cl0p. « Cela signifie que tout adversaire non authentifié pourrait déclencher un exploit qui déploie instantanément un rançongiciel ou effectue toute autre action malveillante », concluent les chercheurs. « Du code malveillant s’exécuterait sous l’utilisateur du compte de service MOVEit moveitsvc, qui se trouve dans le groupe d’administrateurs locaux. L’attaquant pourrait désactiver les protections antivirus ou réaliser toute autre exécution de code arbitraire. »
Les chercheurs de CrowdStrike affirment que le shell Web créé par un attaquant utilisera un compte d’utilisateur existant avec le niveau d’autorisation « 30 » ou un nouveau nom d’utilisateur généré aléatoirement pour établir une session persistante dans l’application MOVEit. Leur blog contient des instructions sur la manière dont les équipes de sécurité peuvent enquêter sur une éventuelle compromission.
Les données volées pourraient être utilisées pour des attaques d’ingénierie sociale ou des rançons, a noté Tim West, responsable du renseignement sur les menaces chez WithSecure. Il a noté que British Airways a déclaré que les informations de paiement de ses employés avaient été volées, mais les organisations devraient s’attendre à ce que la majeure partie des données soit rançonnée et/ou téléchargée sur un site de fuite.
Adaptation et traduction française par Renaud Larue-Langlois.
