Le prolifique gang de rançongiciel Clop a nommé des dizaines de victimes d'entreprises qu'il affirme avoir piratées ces dernières semaines après avoir exploité une vulnérabilité dans plusieurs produits populaires de transfert de fichiers d'entreprise développés par la société de logiciels américaine Cleo.
Dans un post sur son site de fuite du dark web, vu par TechCrunch, le gang Clop lié à la Russie a répertorié 59 organisations qu'il prétend avoir violées en exploitant le bug à haut risque dans les outils logiciels de Cleo.
La faille affecte les produits LexiCom, VLTransfer et Harmony de Cleo. Cleo a d'abord divulgué la vulnérabilité dans un avis de sécurité d'octobre 2024 avant que des chercheurs en sécurité observent des pirates informatiques exploitant massivement la vulnérabilité des mois plus tard en décembre.
Clop a affirmé dans son post qu'il avait informé les organisations qu'il avait piratées, mais que les victimes n'avaient pas négocié avec les pirates. Clop menace de publier les données qu'il aurait volées le 18 janvier à moins que ses demandes de rançon ne soient payées.
Les outils de transfert de fichiers d'entreprise sont une cible populaire des pirates de rançongiciels - et en particulier de Clop - étant donné les données sensibles souvent stockées dans ces systèmes. Au cours des dernières années, le gang de rançongiciel a précédemment exploité des vulnérabilités dans le produit MOVEit Transfer de Progress Software, et a ensuite revendiqué l'exploitation en masse d'une vulnérabilité dans le logiciel de transfert de fichiers géré GoAnywhere de Fortra.
Suite à sa plus récente vague de piratages, au moins une entreprise a confirmé une intrusion liée aux attaques de Clop sur les systèmes de Cleo.
Le géant de la fabrication allemande Covestro a déclaré à TechCrunch qu'il avait été contacté par Clop, et a depuis confirmé que le gang avait accédé à certaines bases de données sur ses systèmes.
“Nous avons confirmé qu'il y a eu un accès non autorisé à un serveur logistique américain, utilisé pour échanger des informations d'expédition avec nos prestataires de transport”, a déclaré le porte-parole de Covestro, Przemyslaw Jedrysik, dans un communiqué. “En réponse, nous avons pris des mesures pour assurer l'intégrité du système, renforcer la surveillance de la sécurité et informer proactivement les clients.
Jedrysik a confirmé que “la majorité des informations contenues sur le serveur n'étaient pas de nature sensible”, mais a refusé de dire quel type de données avait été consulté.
D'autres victimes présumées avec lesquelles TechCrunch a parlé ont contesté les affirmations de Clop, affirmant qu'elles n'avaient pas été compromises dans le cadre de la dernière campagne de piratage de masse du gang.
Emily Spencer, porte-parole du géant américain de la location de voitures Hertz, a déclaré dans un communiqué que la société est “aware” des affirmations de Clop, mais a déclaré qu'il n'y a “aucune preuve que les données ou les systèmes de Hertz ont été impactés à ce jour.”
“Par mesure de précaution, nous continuons à surveiller activement cette affaire avec le soutien de notre partenaire en cybersécurité externe”, a ajouté Spencer.
Christine Panayotou, porte-parole de Linfox, une entreprise logistique australienne répertoriée sur le site de fuite de Clop, a également contesté les affirmations du gang, affirmant que la société n'utilise pas de logiciel Cleo et n'a “pas connu d'incident cybernétique impliquant ses propres systèmes.”
Lorsqu'on lui a demandé si Linfox avait eu des données consultées en raison d'un incident cybernétique impliquant un tiers, Panayotou n'a pas répondu.
Les porte-parole d'Arrow Electronics et de la Western Alliance Bank ont également déclaré à TechCrunch qu'ils n'avaient trouvé aucune preuve que leurs systèmes avaient été compromis.
Clop a également répertorié le géant de la chaîne d'approvisionnement en logiciels Blue Yonder récemment piraté. La société, qui a confirmé une attaque de ransomware en novembre, n'a pas mis à jour sa page d'incident de cybersécurité depuis le 12 décembre.
La porte-parole de Blue Yonder, Marina Renneke, a réitéré une déclaration antérieure à TechCrunch, notant que la société “utilise Cleo pour prendre en charge et gérer certains transferts de fichiers” et qu'elle enquêtait sur tout accès potentiel, mais a ajouté que la société n'avait “aucune raison de croire que la vulnérabilité de Cleo est liée à l'incident de cybersécurité que nous avons connu en novembre”. La société n'a pas fourni de preuves pour cette affirmation.
Lorsqu'on lui a demandé par TechCrunch, aucune des entreprises ayant répondu n'a dit si elles avaient les moyens techniques, tels que des journaux, pour détecter l'accès ou l'exfiltration de leurs données.
TechCrunch n'a pas encore reçu de réponses des autres organisations répertoriées sur le site de fuite de Clop. Clop affirme qu'il ajoutera plus d'organisations victimes à son site de fuite du dark web le 21 janvier.
On ne sait pas encore combien d'entreprises ont été ciblées, et Cleo - qui a elle-même été répertoriée comme victime de Clop - n'a pas répondu aux questions de TechCrunch.
