Lorsque Progress Corp, le fabricant de logiciels d’entreprise basé dans le Massachusetts, a révélé que son système de transfert de fichiers avait été compromis ce mois-ci, le problème a rapidement pris une importance mondiale.
Un gang russophone surnommé Cl0p avait utilisé cette vulnérabilité pour voler des informations sensibles à des centaines d’entreprises, dont British Airways, Shell et PwC. On s’attendait à ce que les pirates tentent alors d’extorquer les organisations concernées, menaçant de divulguer leurs données à moins qu’une rançon ne soit payée.
Cependant, des experts en cybersécurité ont déclaré que la nature des données volées lors de l’attaque – y compris les permis de conduire, les informations sur la santé et la retraite de millions d’Américains – laisse entrevoir une autre façon dont les pirates pourraient encaisser : les escroqueries par vol d’identité, qui, combinées aux dernières les soi-disant logiciels deepfake peuvent s’avérer encore plus lucratifs que les sociétés d’extorsion.
« Je ne suis pas un criminel, mais j’étudie cela depuis longtemps – si j’avais autant d’informations, et c’était si vierge, le ciel est la limite », a déclaré Haywood Talcove, directeur général de LexisNexis Risk Solutions. ‘ Division gouvernementale.
Les experts ont depuis longtemps mis en garde contre la croissance des escroqueries profondes où les criminels associent un logiciel d’intelligence artificielle à des informations personnelles pour créer des ressemblances numériques réalistes de personnes afin de contourner les contrôles de sécurité traditionnels.
Le nombre de deepfakes utilisés dans les escroqueries au cours des trois premiers mois de 2023 a dépassé tout 2022, puis certains, selon Sumsub, une plateforme de vérification basée à Miami, avec une croissance particulièrement élevée au Canada, aux États-Unis, en Allemagne et au Royaume-Uni.
En effet, la simulation de l’identité d’un citoyen occidental déverrouille non seulement les escroqueries bancaires et traditionnelles en ligne, mais également le vol des avantages gouvernementaux.
Par exemple, Talcove a déclaré que le type d’informations volées dans le piratage de Progress – photographies, noms, dates de naissance, adresses personnelles et des parties de leurs numéros de sécurité sociale – pourrait être utilisé pour créer de faux selfies vidéo que de nombreuses agences d’État américaines utilisent pour vérifier les identités. .
Cela pourrait permettre aux criminels de réclamer avec succès des allocations de chômage et de demander des prêts universitaires fédéraux, des coupons alimentaires et d’autres programmes. Il a estimé que chaque identité volée peut être exploitée avec succès pour voler jusqu’à 2 millions de dollars rien qu’aux programmes de prestations du gouvernement.
« À mesure que l’IA progresse, de plus en plus d’outils deviennent disponibles pour les fraudeurs. . . l’utilisation de la fraude synthétique augmente à un rythme alarmant », a déclaré Pavel Goldman-Kalaydin, de Sumsub, qui affirme que l’entreprise doit continuer à trouver de nouvelles façons de repérer ces contrefaçons sophistiquées.
Le 1er juin, après qu’au moins un de ses clients ait vu ses données violées, Progress a révélé que des pirates avaient trouvé une faiblesse jusque-là inconnue dans son logiciel qui leur permettait de cibler ses clients.
La violation a finalement conduit au vol de téraoctets de données aux clients de Progress, notamment la compagnie pétrolière Shell et ses rivaux comptables PwC et EY, ainsi qu’à des dizaines d’autres agences gouvernementales américaines, dont le ministère de l’Agriculture, les services de santé du Maryland et le système de retraite californien. l’un des plus grands au monde.
Le paysage tentaculaire des victimes – dont beaucoup n’ont pas encore reconnu publiquement la violation – sont liés les uns aux autres par leur dépendance à un logiciel appelé MOVEit, fabriqué par Progress, qui a été annoncé comme une méthode sécurisée permettant aux entreprises de se conformer aux données réglementations de traitement, en gardant leurs informations les plus précieuses en sécurité à la fois en transit et en stockage.
La deuxième partie du braquage devait être de l’extorsion : exiger un paiement ou divulguer les données est mis sur le dark web. Par exemple, les pirates ont récemment publié une grande quantité de données de Shell, ce qui indique que l’entreprise n’a pas payé de rançon. Shell a déclaré qu’un très petit nombre de ses employés utilisaient le logiciel et que le reste de ses systèmes était intact.
« Ce n’était pas un événement de ransomware », a déclaré la société. « Il n’y a aucune preuve d’impact sur les autres systèmes informatiques de Shell. Nos équipes informatiques enquêtent.
Les pirates, qui ont refusé par e-mail de commenter, ont également exploité une coque Web hautement sophistiquée, ou porte dérobée, qui semble avoir contourné les mesures de sécurité standard de l’industrie d’entreprises comme Microsoft ou CrowdStrike, selon deux personnes familières avec l’enquête initiale sur le piratage.
Progress a déclaré qu’il travaillait avec les forces de l’ordre et aidait ses clients à sécuriser davantage leurs données, « y compris en appliquant les correctifs que nous avons publiés ».
« Nous nous engageons à jouer un rôle de premier plan et de collaboration dans les efforts déployés à l’échelle de l’industrie pour lutter contre les cybercriminels de plus en plus sophistiqués et persistants qui cherchent à exploiter de manière malveillante les vulnérabilités des produits logiciels largement utilisés », a déclaré la société.
Progress s’appuie sur Charles River Associates, un cabinet de conseil, la division médico-légale de DLA Piper, le cabinet d’avocats, et la cybersécurité Mandiant, propriété de Google, alors qu’elle se prépare à des poursuites contre elle.
La Cybersecurity and Infrastructure Security Agency des États-Unis n’a pas répondu aux multiples demandes de commentaires.
Les gouverneurs de la Louisiane et de l’Oregon ont tenu des discussions d’urgence sur le piratage et ont dit aux citoyens de geler leur crédit, de changer tous leurs mots de passe et de garder un œil sur leurs comptes d’avantages sociaux.
« Les syndicats du crime organisé, les opérations de l’État et les groupes de fraude professionnels sont les plus susceptibles d’utiliser ces informations. . . dans le but de commettre une fraude d’identité mondiale à grande échelle », a déclaré Ron Atzmon, fondateur d’AU10TIX, une société basée en Israël qui compte Google, Microsoft, PayPal et LinkedIn parmi ses clients pour la vérification d’identité.
Étant donné que les données volées étaient réelles, a-t-il déclaré, « elles seront vérifiées comme authentiques lors d’une tentative de fraude, ce qui leur permettra de passer par la plupart des points de contrôle au niveau des cas ».
Il a ajouté: « Nous pensons que dans les mois à venir, nous assisterons à une augmentation des attaques de fraude en série à tous les niveaux en raison de l’afflux d’informations d’identité volées entre les mains de fraudeurs professionnels. »
Au système de retraite des employés publics de Californie, ou Calpers, les pirates Cl0p se sont emparés des données personnelles d’environ 769 000 membres retraités et de leurs survivants. Les données d’Américains récemment décédés étaient particulièrement précieuses sur le marché noir, a déclaré un responsable de la cybersécurité privée impliqué dans des enquêtes sur plusieurs victimes.
« Vous ouvrez une carte de crédit au nom d’un homme mort, contractez des emprunts, redirigez les paiements de sécurité sociale, souscrivez à des prestations alimentaires », a déclaré la personne. « Qui va sonner l’alarme ? il a dit.