Le gang de hackers russophones qui a compromis des groupes britanniques tels que British Airways et la BBC a affirmé avoir détourné des données sensibles d’un plus grand nombre d’institutions, notamment des sociétés d’investissement basées aux États-Unis, des fabricants européens et des universités américaines.
Le groupe qui se fait appeler Clop, du nom russe des punaises de lit, a ajouté le groupe industriel allemand Heidelberg ; Putnam Investments, basé au Kansas, avec 168 milliards de dollars sous gestion ; et Leggett & Platt, un fabricant de 4 milliards de dollars du Missouri, à une liste d’entreprises qu’il prétend avoir piratées.
Huit autres entreprises ont été ajoutées cette semaine à la liste de Clop sur le dark web. Cela s’ajoute aux nouvelles de la semaine dernière selon lesquelles des groupes britanniques, dont Boots appartenant à Walgreens, ont informé les employés que leurs données avaient été compromises. Le problème, découvert pour la première fois le 31 mai, ciblait également les clients de Zellis, un fournisseur de services de paie basé au Royaume-Uni qu’environ la moitié des entreprises du FTSE 100 utilisent.
“Il s’agit d’un incident assez désagréable et assez important”, a déclaré Ciaran Martin, président de CyberCX UK, qui a aidé à fonder le centre national de cybersécurité. “Ces entreprises de bonne foi utilisaient un service en qui elles avaient confiance.”
Le groupe de piratage fait pression pour entrer en contact avec les entreprises figurant sur la liste, selon un article sur le site Web sombre de Clop, alors que le gang exige une rançon qui, selon les experts en cybersécurité et les négociateurs, pourrait atteindre plusieurs millions de dollars. Clop menace de divulguer des informations sensibles à moins que les entreprises acceptent de payer des sommes “substantielles”.
Une personne répondant depuis le compte de messagerie de Clop a refusé de commenter.
D’autres noms d’entreprises devraient être ajoutés au cours des prochains jours. Les chercheurs en sécurité ont déclaré que Clop avait mis deux semaines pour divulguer une liste complète de noms lors d’une précédente campagne de piratage. Les pirates Clop se sont distingués en adoptant des méthodes sophistiquées qui vont au-delà des e-mails contenant des logiciels malveillants.
Le dernier piratage a exploité une faiblesse dans un logiciel de transfert de fichiers “sécurisé” utilisé par des centaines d’entreprises, soulignant la vulnérabilité des entreprises face aux cyberattaques sophistiquées qui ciblent les failles de leur chaîne d’approvisionnement logicielle.
Heidelberg, qui fabrique des machines pour l’impression de masse, a déclaré être au courant de l’attaque de son système, qui “a été contrée rapidement et efficacement et, sur la base de notre analyse, n’a entraîné aucune violation de données”.
Putnam et Leggett n’ont pas répondu aux demandes de commentaires.
Les enquêteurs ont déclaré que Clop était devenu un opérateur de rançongiciel doté d’une expertise technique et d’une patience stratégique.
“Ils ont un niveau de perspicacité opérationnelle peu commun”, a déclaré Jeremy Kennelly, qui étudie les crimes financiers chez Mandiant, une société de cybersécurité appartenant à Google. Dans le même temps, a-t-il dit, leurs tactiques montrent que Clop comprend comment et où les entreprises stockent leurs précieuses données, avant de les voler.
On sait peu de choses sur Clop autre que la façon dont ils fonctionnent. Kennelly et d’autres chercheurs disent que certains de leurs codes et métadonnées utilisent le russe, ils arrêtent souvent de travailler pendant les vacances orthodoxes russes et évitent d’attaquer les pays russophones.
Au cours des derniers mois, les pirates Clop ont eu accès à des données personnelles en s’introduisant dans MOVEit, un logiciel de transfert de fichiers conçu par les ingénieurs de Progress Software.
Ils ont ensuite attendu leur heure, passant des mois à enquêter sur les cyberdéfenses des entreprises cibles qui paient Progress pour sécuriser leurs données avant d’attaquer de nombreuses entreprises simultanément. Certaines preuves montrent que Clop avait effectué des tests des mois plus tôt.
Progress Software, une société américaine de 2,7 milliards de dollars, a informé ses clients le 31 mai qu’elle avait découvert la même faiblesse et a publié un correctif d’urgence. Il a refusé de commenter davantage, affirmant qu’il coopérait avec les autorités américaines.
“La première (violation) que nous avons trouvée remonte au 27 mai”, a déclaré Steven Adair, directeur général de Veloxity, une société de cybersécurité basée aux États-Unis, qui effectuait un travail de première intervention chez plusieurs de ses clients. “Mais il y en a peut-être d’autres qui ont été exploités pendant Dieu sait combien de temps.”
Il s’agit de la troisième campagne connue de Clop pour traquer les données sécurisées des organisations. Deux dans le passé ont rapporté des millions de dollars, estiment les chercheurs, et les noms et les données de ceux qui ont refusé de payer – de Bombardier à l’Université de Stanford – sont toujours disponibles sur son site Web sombre.
Le modus operandi bien établi de Clop, surnommé “hack-and-leak”, le voit soi-disant supprimer les données de ceux qui paient, le prix de la transaction variant selon l’entreprise. La propriété intellectuelle est l’une des plus précieuses, tandis que les données personnelles sont souvent considérées comme les moins précieuses.
“C’est une danse intéressante”, a déclaré Don Smith, vice-président de Unité de contre-menace de Secureworks, une entreprise de cybersécurité. “S’ils répertorient soudainement une victime et vident leurs données, ils se sont reculés dans un coin. Ils ne reçoivent plus d’argent de cette victime.