Montri - stock.adobe.com

Campagne MOVEit : Cl0p divulgue une grande quantité de données volées à Cegedim

Le groupe Cl0p a poursuivi la diffusion des données volées à Cegedim à l’occasion de sa campagne de cyberattaques contre les instances MOVEit Transfer. Il met désormais à disposition plus de 1,5 To de données.

[Mise à jour, le 23 juin 2023 @ 12h30] Le groupe Cl0p vient d’ajouter plus de 290 segments d’archives compressées de données présentées comme dérobées à Cegedim lors de sa campagne de cyberattaques contre les instances MOVEit Transfer. Au total, ce sont donc plus de 1,5 To de données compressées qui sont mises à disposition. De son côté, Cegedim n’a toujours pas répondu à notre demande de commentaires du 16 juin.

[Article original, le 21 juin 2023 @ 11h07] Le groupe Cl0p vient de commencer à diffuser les données volées à Cegedim, dans le cadre de sa vaste campagne de cyberattaques lancée fin mai contre les instances MOVEit Transfer affectées par la vulnérabilité référencée CVE-2023-34362, alors inconnue.

Selon Cl0p, il ne s’agit là que d’une première partie des données volées sur les instances MOVEit Transfer opérées par Cegedim. Découpée en 28 fichiers, l’archive compressée correspondante affiche une taille modérée, en comparaison d’autres cas de vol de données et de cyberextorsion : elle pèse moins de 15,5 Go.

Et l’entreprise de services numériques (ESN) avait pris les devants, avec un e-mail visant notamment à communiquer la liste des fichiers volés à ses clients concernés, afin que ceux-ci puissent réagir et, notamment, se conformer à leurs obligations légales et réglementaires.

Cette communication est datée du 10 juin, le lendemain de la mise en place d’une cellule de crise. Parce qu’avant le 9 juin, les équipes de Cegedim prennent au sérieux la menace, mais semblent avoir toutes les raisons de penser que l’ESN a été épargnée… Pour autant, elles ne baissent pas leur garde. Et une mauvaise surprise les attend.

Chronologie

L’e-mail révèle en effet que les équipes de Cegedim ont pris connaissance du bulletin d’alerte de Progress Software, l’éditeur de MOVEit Transfer, dès le 1er juin à 8 h du matin. Là ont commencé « des opérations de déploiement des correctifs préconisés par l’éditeur », ainsi que les « investigations sur la base des indicateurs de compromission fournis par l’éditeur ». 

Huit heures plus tard, les équipes de Cegedim observaient « une tentative échouée d’exploitation de la vulnérabilité ». Le même jour, à 19 h, c’est la « fin de déploiement des correctifs sur l’ensemble des plateformes MOVEit hébergées ».

Cegedim ne s’arrête pas en si bon chemin. Dans la foulée, l’ESN a « mis en œuvre une règle de surveillance renforcée » sur son EDR afin de « détecter toute tentative d’exploitation de la vulnérabilité sur nos plateformes MOVEit ». 

De là, la situation semble maîtrisée jusqu’au 9 juin en début de matinée. Les équipes de Cegedim identifient alors « de nouveaux indicateurs de compromission » et les transmettent à Progress Software. Un peu plus d’une heure plus tard, l’incident de sécurité est confirmé ; c’est le « début de l’analyse d’impact et de la cellule de crise ». 

Les investigations vont montrer que l’attaque remonte au 30 mai 2023 peu avant 22 h. Ce n’est guère une surprise : Cl0p a commencé sa campagne le 27 mai. Pour autant, aucun système lié à Cegedim ne ressort comme compromis, début juin, avec les balayages mis en place par Onyphe à partir des indicateurs disponibles à ce moment-là. 

De toute évidence, les premiers indicateurs de compromission disponibles publiquement – tout début juin – n’étaient pas définitifs ; d’autres ont effectivement émergé au fil des jours et des semaines.

La demande de commentaires adressée par nos soins à Cegedim, le 16 juin, est toujours sans réponse, à l’heure où sont publiées ses lignes. 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close