La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) ont publié un avis conjoint concernant l’exploitation active d’une faille critique récemment révélée dans l’application MOVEit Transfer de Progress Software pour éliminer les ransomwares.
« Le Cl0p Ransomware Gang, également connu sous le nom de TA505, aurait commencé à exploiter une vulnérabilité d’injection SQL jusque-là inconnue dans la solution de transfert de fichiers géré (MFT) de Progress Software, connue sous le nom de MOVEit Transfer », ont déclaré les agences. a dit.
« Les applications Web MOVEit Transfer accessibles sur Internet ont été infectées par un shell Web nommé LEMURLOOT, qui a ensuite été utilisé pour voler des données à partir des bases de données MOVEit Transfer sous-jacentes. »
Le gang prolifique de la cybercriminalité a depuis a lancé un ultimatum à plusieurs entreprises concernées, les exhortant à prendre contact avant le 14 juin 2023, sous peine de voir toutes leurs données volées publiées.
Microsoft suit l’activité sous le nom de Lace Tempest (alias Storm-0950), qui a également été impliqué dans l’exploitation d’une vulnérabilité de sécurité critique dans les serveurs PaperCut.
Actif depuis au moins février 2019, l’adversaire est lié à un large éventail d’activités dans l’écosystème de la cybercriminalité, y compris l’exploitation d’un ransomware-as-a-service (RaaS) et agit en tant qu’affilié pour d’autres programmes RaaS.
Il a également été observé agissant en tant que courtier d’accès initial (IAB) pour profiter de l’accès aux réseaux d’entreprise compromis et également en tant que client d’autres IAB, soulignant la nature interconnectée du paysage des menaces.
 |
| Source : Kroll |
L’abus de CVE-2023-34362une faille d’injection SQL dans MOVEit Transfer, est un signe que l’adversaire recherche en permanence des exploits zero-day dans les applications accessibles sur Internet et les utilise à son avantage pour extorquer ses victimes.
Il convient de noter que Cl0p a mené des attaques d’exploitation de masse similaires sur d’autres applications de transfert de fichiers gérés telles que Accellion FTA et GoAnywhere MFT au cours de l’année écoulée.
Société de gestion de surface d’attaque Censys a dit il a observé une baisse du nombre d’hôtes exécutant des instances MOVEit Transfer exposées, passant de plus de 3 000 hôtes à un peu plus de 2 600.
« Plusieurs de ces hôtes sont associés à des organisations de premier plan, y compris plusieurs sociétés Fortune 500 et des agences gouvernementales étatiques et fédérales », a noté Censys, soulignant que la finance, la technologie et la santé sont les secteurs les plus exposés.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Krolldans une analyse partagée avec The Hacker News, a déclaré avoir identifié une activité indiquant que les acteurs de la menace Clop expérimentaient probablement des moyens d’exploiter cette faille particulière en avril 2022 et dès juillet 2021.
La découverte est particulièrement significative car elle sert à illustrer l’expertise technique de l’attaquant et la planification qui a été nécessaire pour organiser les intrusions bien avant le début de la récente vague d’exploitations.
« Les commandes pendant la période de juillet 2021 semblaient être exécutées sur une plus longue période, ce qui suggère que les tests ont peut-être été un processus manuel à ce moment-là avant que le groupe ne crée une solution automatisée qu’il a commencé à tester en avril 2022 », a déclaré Kroll.
L’exploitation de juillet 2021 proviendrait d’une adresse IP (45.129.137[.]232) qui était auparavant attribuée à l’acteur Cl0p dans le cadre de tentatives d’exploitation de failles dans le produit SolarWinds Serv-U à peu près au même moment.
« C’est la troisième fois que le groupe de rançongiciels Cl0p utilise un jour zéro dans les applications Web pour extorsion en trois ans », a déclaré Kevin Beaumont, chercheur en sécurité. a dit. « Dans les trois cas, il s’agissait de produits avec une sécurité dans la marque. »