Ces vols de données à la longue durée de vie

C’est un coup de tonnerre pour beaucoup : le 8 novembre, un acteur utilisant le pseudonyme Nam3L3ssannonçait, sur un forum notamment fréquenté par des cybercriminels, divulguer des données personnelles d’employés d’Amazon. 

Ce n’est qu’un début. Selon Alon Gal, d’Hudson Rock, Nam3L3ss dispose de bien plus : des données venues de chez MetLife, HSBC, HP, Delta Airlines, 3M, Lenovo, ou encore British Telecom, entre autres. Un total de 25 entreprises sont concernées. Il faut compter, dans chaque cas, avec des milliers, voire des dizaines de milliers de personnes affectées. Sinon des millions dans le cas d’Amazon.

Mais d’où viennent ces données et comment ont-elles été obtenues ? D’une instance MOVEit Transfer ayant été attaquée… lors de la campagne menée par Cl0p fin mai 2023. Celle-ci s’appuyait sur l’exploitation en masse de la vulnérabilité CVE-2023-34262 alors qu’elle était encore inédite. Emsisoft estime que près de 2 800 entreprises ont été affectées par cette campagne.

Pas de nouvelle attaque, donc, mais le recyclage de données obtenues lors d’une autre, antérieure. 

Nam3L3ss dit ne pas avoir de liens avec Cl0p. Ce dernier ayant divulgué les données volées à certaines de ses victimes, cette affirmation est peut-être vraie. En outre, rien ne dit que les pratiques de sécurité informatique de Cl0p n’aient pas laissé à désirer et que des données volées à ses victimes n’aient pas pu être obtenues par Nam3L3ss.

Cet épisode rappelle à nouveau qu’une fois volées, les données d’une victime de cyberattaque peuvent avoir une, voire plusieurs vies parfois plus longues qu’on ne l’imagine ni ne le souhaite. Autrement dit : l’histoire ne s’arrête pas à leur (non-)divulgation.

On l’avait déjà vu en 2020. La métropole Aix-Marseille-Provence avait été victime d’une cyberattaque mi-mars. Celle-ci impliquait le groupe Pysa. Ils attendront le 28 août suivant pour revendiquer publiquement leurs méfaits. 

Plus récemment, LockBit 3.0 a, début mai, recyclé les données de nombreuses « vieilles » attaques – précédemment revendiquées pour beaucoup, mais pas toutes – pour donner l’impression d’être toujours aussi actif et attractif malgré l’opération judiciaire internationale Cronos.

Et c’est sans compter avec Snatch qui, apparu en 2018 comme franchise de ransomware en mode service, s’est depuis transformé en plateforme de diffusion de données volées lors de cyberattaques menées par des tiers. Dont certaines bien antérieures, comme pour Ingenico.

Les infostealers illustrent également ce phénomène : les données d’authentification volées avec ceux-ci ne se contentent pas d’être parfois diffusées gratuitement sous forme de logs dans des chaînes Telegram spécialisées. Ces logs peuvent être ensuite traités et consolidés en listes thématiques appelées combolists. De quoi leur donner une seconde vie.