Campagne MOVEit : SYNLab, Cegedim, Nuance, PwC… la litanie des victimes de Cl0p
Cl0p a commencé, le 14 juin, à mettre ses menaces en application en nommant progressivement les victimes de sa campagne contre les instances du logiciel de gestion d’échanges de fichiers MOVEit.
Comme il en avait précédemment menacé, le cartel cybercriminel Cl0p a commencé, la semaine dernière, à divulguer publiquement les noms des victimes présumées compromises via une faille d’injection SQL dans le produit de transfert de fichiers MOVEit de Progress Software, qui ont résisté à sa tentative d’extorsion.
Cl0p (soupçonné d’être basé en Russie) a annoncé, le 5 juin, aux utilisateurs du produit MOVEit Transfer qu’ils avaient sept jours pour engager le dialogue avec lui. Ce délai a expiré hier (14 juin), et fidèle à sa parole, Cl0p a commencé à égrainer les noms des victimes.
Parmi les premiers noms figurent le géant de l’énergie Shell, l’Université de Géorgie aux États-Unis et le fonds d’investissement Putnam. On y trouve également plusieurs banques américaines et des organisations aux Pays-Bas et en Suisse.
Un porte-parole de Shell a confirmé que l’entreprise avait été affectée par l’incident : « nous sommes conscients d’un incident de cybersécurité qui a impacté un outil tiers de Progress appelé MOVEit Transfer, utilisé par un petit nombre d’employés et de clients de Shell ». Et d’ajouter qu’il « n’y a aucun indice d’impact sur les systèmes informatiques principaux de Shell. Nos équipes informatiques mènent une enquête. Nous ne communiquons pas avec les pirates informatiques ».
Plusieurs agences gouvernementales américaines ont également été compromises, a déclaré l’agence locale de la cybersécurité et de la sécurité des infrastructures (CISA), jeudi dernier.
PwC Australie a indiqué compter également parmi les victimes de la campagne lancée par Cl0p fin mai, même si aucune revendication la concernant n’a encore été publiée.
Le nom du Français SYNLab est apparu sur le site vitrine du groupe. L’intéressé avait déjà publié, le 8 juin, un communiqué l’indiquant. Selon celui-ci, 4 laboratoires ont été affectés, « dont 3 travaillant avec un hôpital et trois cliniques partenaires ». Seul « un très petit nombre de patients » serait concerné, pour des « données personnelles administratives » et des « anciennes données de santé ».
Cegedim, épinglé sur la vitrine de Cl0p le vendredi 16 juin, n’a en revanche pas évoqué publiquement l’incident à notre connaissance. Notre demande de commentaires adressée dans l’après-midi de vendredi dernier n’a pour le moment pas reçu de réponse ni d’accusé de réception.