La menace grandit autour de l’exploitation d’une faille critique dans un outil managé de transfert de fichier reconnu, Moveit Transfer. En effet, le groupe de ransomware Clop en fait un usage massif  contre plusieurs entreprises. Un rapport de SentinelOne a listé une vingtaine d’entreprises tombées dans la nasse du gang. Plusieurs secteurs sont concernés : l’aviation, le transport, la logistique, le divertissement, les services financiers, l'assurance, la santé, les produits pharmaceutiques, le manufacturing, les médias, l’IT et les services publics.

Dans les revendications du groupe Clop sur son site, il explique avoir effacé les données exfiltrées appartenant à des gouvernements, des municipalités ou des services de police. La raison indiquée est qu’ »il n’a aucun intérêt à exposer de telles informations ». Un moyen certainement d’éviter de s’attirer les foudres de certains Etats, en particulier des Etats-Unis.

Un groupe très actif et techniquement avancé

Le gang Clop, également connu sous le nom TA505 dans le secteur de la sécurité, est impliqué dans la distribution de ransomware et l'extorsion depuis 2019. Selon un avis de la CISA, à ce jour, le groupe a compromis plus de 3 000 entreprises aux États-Unis et plus de 8 000 dans le monde. Outre l'exploitation du ransomware-as-a-service Clop, le groupe a aussi agi en tant que courtier d'accès initial (Initial Access Broker, IAB), vendant l'accès aux réseaux d'entreprise compromis à d'autres groupes, et a exploité un vaste botnet spécialisé dans la fraude financière et le phishing. Le développement de trois exploits de type « zero-day » pour les dispositifs Accellion File Transfer Appliance (FTA) en 2020 et 2021, les serveurs Fortra/Linoma GoAnywhere MFT au début de 2023, et maintenant l'application Moveit, témoignent des compétences techniques et des ressources du groupe.

Celui-ci a par ailleurs développé une boîte à outils de malwares diversifiée et des webshells personnalisés pour ces attaques au lieu de s'appuyer sur des outils open-source prêts à l'emploi comme d'autres groupes d'extorsion ciblant les serveurs web. « Les acteurs de l'extorsion axés sur le cloud, comme Bianlian et Karakurt, utilisent des outils de gestion de fichiers polyvalents comme Rclone et Filezilla », ont expliqué les chercheurs de SentinelOne. « Un webshell sur mesure conçu pour voler des fichiers Azure par le biais de requêtes SQL spécifiques à l'environnement ciblé représente un écart notable par rapport à cette pratique établie et suggère que l'outil a probablement été développé et testé bien avant les attaques ITW (In-the-Wild) menées dans le monde réel », ont-ils ajouté.

Des campagnes de repérage très précoces

SentinelOne note une tendance à l'exploitation des failles de type « zero-day » et « N-day » dans les applications de transfert de fichiers gérées par les entreprises, un autre exemple étant l'exploitation d'une faille de désérialisation dans le logiciel de partage de fichiers IBM Aspera Faspex en mars qui a conduit au déploiement du ransomware IceFire. « Il existe vraisemblablement un écosystème de développement d'exploits abondant axé sur les applications de transfert de fichiers d'entreprise », ont conclu les chercheurs dans leur rapport. Plus inquiétant encore, parmi les cibles de l'exploit Moveit, SentinelOne a trouvé des MSP et des MSSP, des fournisseurs de services IT ou de sécurité managés. Ce genre d’entreprises sont des cibles de grande valeur pour les groupes de ransomware car ils détiennent potentiellement des données utiles pour accéder à de nombreuses autres entreprises.

En surveillant ses pots de miel, la société de cyberassurance Coalition a constaté un pic de trafic le 15 mai sur le chemin légitime /human.aspx des déploiements de Moveit Transfer, ce qui indique que les attaquants étaient probablement en train de faire de la reconnaissance pour établir une liste de cibles. Selon Caitlin Condon, responsable de la recherche en sécurité chez Rapid7, la première attaque confirmée a été enregistrée le 27 mai, soit quatre jours avant que l'exploit ne soit rendu public, les attaquants disposant généralement d'un délai de 24 à 48 heures pour exfiltrer les données. Depuis la divulgation publique, Rapid7 a constaté une augmentation des correctifs et un ralentissement du nombre de tentatives d'exploitation. Le rapport SentinelOne contient des requêtes de recherche de menaces que les entreprises peuvent utiliser pour rechercher des activités associées à ces attaques dans leurs environnements, et l'avis CISA contient des règles de détection YARA et des indicateurs de compromission.