Des agences fédérales américaines et de nombreux services gouvernementaux ont été impactés par la cyberattaque qui a ciblé le logiciel de transfert de fichiers MOVEit la semaine dernière. Les pirates de Lace Tempest ont néanmoins indiqué qu’ils avaient supprimé ces fichiers.
La semaine dernière, la BBC révélait que certaines de ses données, et celles appartenant à d’autres organisations comme British Airways avaient été volées par des hackeurs du groupe de ransomware Lace Tempest. Ces derniers c’étaient introduits dans des bases de données en exploitant une vulnérabilité du logiciel de transfert de fichiers MOVEit. Dix jours après, la portée de la cyberattaque semble bien plus importante.
Une attaque tentaculaire
La chaîne d’information américaine CNN rapporte en effet que plusieurs agences fédérales des Etats-Unis, des gouvernements locaux ou encore des universités ont été touchées. Le ministre de l’Energie et l’Université Johns Hopkins compte parmi les victimes. L'agence américaine pour la cybersécurité et la sécurité des infrastructures a déclaré dans un communiqué transmis au média américain qu'elle fournissait « un soutien à plusieurs agences fédérales qui ont subi des intrusions affectant leurs applications MOVEit ». Elle continue d’enquêter pour déterminer la portée réelle de ces intrusions.
Ce sont aussi des centaines d’entreprises et organisations qui ont été impactées à travers le monde, comme la BBC donc, mais aussi Shell, les gouvernements des États du Minnesota et de l'Illinois, Aer Lingus, Boots…
Nouvelle vulnérabilité détectée
Entre temps, Progress Software, la société américaine qui développe MOVEit a révélé avoir découvert une nouvelle vulnérabilité dans son logiciel. « Nous avons communiqué avec les clients sur les mesures qu'ils doivent prendre pour sécuriser davantage leurs environnements et nous avons également mis MOVEit Cloud hors ligne alors que nous travaillons de toute urgence pour résoudre le problème », a-t-elle déclaré dans un communiqué.
Les pirates avaient donnés aux victimes jusqu’à mercredi 14 juin pour les contacter afin de payer une rançon et reprendre la main sur leurs données. Lace Tempest avait néanmoins écrit sur sa plateforme Clop avoir supprimé les données de services gouvernementaux, municipaux et de police. « Ne vous inquiétez pas, nous avons effacé vos données, vous n'avez pas besoin de nous contacter. Nous n'avons aucun intérêt à exposer de telles informations », on-t-il écrit. Interrogé par la BBC la semaine dernière, Brett Callow, chercheur chez l'Emsisoft expliquait néanmoins que cette affirmation était à prendre avec des pincettes : « si les informations ont une valeur monétaire ou pourraient être utilisées pour le phishing, il est peu probable qu'elles ont été simplement éliminées. »