La faille MOVEit est l’une des plus grandes attaques de ransomware de 2023 et a touché des millions de personnes dans le monde.

Points clés à retenir

  • La faille MOVEit, réalisée par le groupe de rançongiciels Clop, est l'un des plus gros piratages de 2023, impactant 2 659 organisations et 67 millions de personnes.
  • La violation exploitait des vulnérabilités zero-day dans l'application MOVEit, permettant aux attaquants d'accéder aux données sensibles stockées par les organisations utilisant le logiciel.
  • Le secteur de l’éducation a été fortement touché par cette violation, des universités comme John Hopkins et l’Université Webster étant parmi les cibles. Les autres secteurs touchés comprennent la santé, la finance et les affaires.

Faites-vous partie des 62 millions de personnes touchées par la violation de MOVEit? La faille MOVEit est l’un des plus gros piratages de 2023, le groupe de ransomware Clop rançonnant des milliers d’organisations et empochant des dizaines de millions de dollars.

Alors, qu’est-ce que l’attaque du ransomware MOVEit et comment a-t-elle affecté autant de personnes ?

Qu'est-ce que MOVEit?

MOVEit est un logiciel et un service de transfert de fichiers sécurisé développé par Progress Software, conçu pour faciliter le transfert sécurisé de données sensibles entre organisations et individus. MOVEit est utilisé par les entreprises, les organisations gouvernementales, les universités et pratiquement toute entité qui stocke et gère ses données, permettant aux entreprises de transférer des fichiers et des données en toute sécurité pour les protéger depuis accès non autorisé ou violations.

Cependant, en mai 2023, cela a cessé d'être le cas lorsque le groupe de ransomware Clop a piraté des milliers de données d'organisations qui utilisaient MOVEIt pour leurs données.

Comment la violation de MOVEit s’est-elle produite?

En mai 2023, le tristement célèbre groupe de ransomwares Clop a exploité plusieurs vulnérabilités zero-day dans l'application MOVEIt.

Une vulnérabilité zero-day est une faille de sécurité logicielle inconnue du fournisseur ou du public et exploitée par des attaquants avant qu'un correctif ou un correctif ne soit disponible. Les vulnérabilités Zero Day sont particulièrement dangereuses car elles peuvent être exploitées furtivement à l'insu de l'éditeur pendant très longtemps.

Progress Software a finalement corrigé ces vulnérabilités, mais il était déjà trop tard. Au cours de la période où la vulnérabilité était inconnue du public et des fournisseurs, les attaquants ont accédé et violé les données de milliers d'organisations qui utilisaient MOVEit pour gérer et transférer leurs données.

Crédit d’image: rawpixel.com/Freepik

Le groupe de ransomware Clop a découvert plusieurs vulnérabilités d'injection SQL dans l'application MOVEit, leur permettant d'accéder à la base de données des organisations et de télécharger et visualiser des données. L'injection SQL est une vulnérabilité où du code SQL malveillant est inséré dans les champs de saisie, exploitant les vulnérabilités d'une application basée sur une base de données. Le code non autorisé peut manipuler la base de données, exposant ou modifiant potentiellement des informations sensibles.

Les vulnérabilités d'injection SQL sont enregistrées sous les noms CVE-2023-34362, CVE-2023-35036 et CVE-2023-35708 et ont été corrigées respectivement le 31 mai 2023, le 9 juin 2023 et le 15 juin 2023. Toutes les versions de l'application de transfert MOVEit étaient vulnérables à ces vulnérabilités. Lorsqu'il est exploité, il permet à un attaquant non authentifié d'accéder au contenu de la base de données de transfert MOVEIt de l'organisation. Cela signifie que l'attaquant peut télécharger, modifier ou même supprimer des bases de données sans aucune restriction.

L'impact de la violation MOVEit

Selon l'analyse d'Emisoft et statistiques concernant la violation de données MOVEit, au 9 novembre 2023, 2 659 organisations ont été touchées par la violation MOVeit, et plus de 67 millions de personnes ont été touchées par des organisations principalement basées aux États-Unis, au Canada, en Allemagne et au Royaume-Uni.

L'éducation est le secteur le plus touché, les données de nombreuses universités étant siphonnées par ces attaquants. Les organisations éducatives touchées par cette violation comprennent le système scolaire public de la ville de New York, John L'Université Hopkins, l'Université de l'Alaska et l'Université Webster, entre autres les universités. Parmi les autres secteurs fortement touchés par cette violation figurent le secteur de la santé, les banques, les institutions financières et les entreprises.

Parmi les organisations les plus connues touchées par le ransomware MOVEit figurent la BBC, Shell, Siemens Energy, Ernst & Young et British Airways.

Le 25 septembre 2022, le principal service d'enregistrement prénatal, des nouveau-nés et des enfants,NÉ en Ontario, a publié une déclaration sur la violation de MOVEit révélant qu'ils étaient affectés par la violation de MOVEit. Selon leur rapport, la vulnérabilité MOVEit a permis à des acteurs tiers malveillants non autorisés d'accéder et de copier des fichiers de les renseignements personnels sur la santé contenus dans les dossiers BORN Ontario, qui avaient été transférés à l’aide du logiciel de transfert de fichiers sécurisé.

En réponse, Born Ontario a immédiatement isolé le système, mis hors service le serveur concerné et lancé un enquête, en partenariat avec des experts en cybersécurité pour déterminer la gravité et quelles données spécifiques étaient volé.

Beaucoup de ces organisations ont été piratées non pas parce qu'elles utilisaient l'application MOVEit mais parce qu'elles fournisseurs tiers fréquentés qui ont utilisé l'application de transfert MOVEit, ce qui leur a valu d'obtenir également violé. C'est une situation similaire pour d'autres organisations, qui coûte des milliards de dollars en paiements de ransomwares et autres correctifs de sécurité.

Vous avez été affecté par la violation MOVEit. Et ensuite?

Si vous utilisez toujours MOVEit, mettez-le immédiatement à jour vers la dernière version pour éviter que vos fichiers et données ne soient volés par ces pirates. Internet et les logiciels qui l'utilisent sont malheureusement sujets aux hacks et aux ransomwares, et vous devez vous protéger. et vos actifs sécurisés en changeant régulièrement les mots de passe, en utilisant un logiciel antivirus et en activant plusieurs facteurs authentification.

Pourtant, comme le montre la faille MOVEit, vous pouvez faire tout cela, et une équipe de pirates informatiques découvrira un exploit jamais vu auparavant.