Les victimes d’une cyberattaque sur l’outil de transfert de fichiers s’accumulent

“C’est extrêmement complexe, l’impact en aval est difficile à prévoir et les organisations ne sauront pas nécessairement à ce stade si elles sont exposées”, a déclaré Brett Callow, analyste des menaces chez Emsisoft.

Depuis Progress Software a révélé une faille dans MoveIt le 31 maiplus de 200 entreprises ont déclaré avoir été touchées par des cyberattaques sur le logiciel, et des pirates ont revendiqué le mérite d’avoir attaqué près de 400 organisations, Callow a dit. Le groupe de rançongiciels Cl0p a pris la responsabilité des cyberattaques et a publié les données de certaines victimes sur son site Web clandestin.

Au moins 13 poursuites accusant Progress de mauvaise cybersécurité ont été déposées depuis que la vulnérabilité a été révélée pour la première fois devant les tribunaux fédéraux aux États-Unis.

Progress a publié un correctif dans les 48 heures suivant la découverte de la vulnérabilité initiale. L’entreprise a découvert une autre faille dans MoveIt environ deux semaines plus tard et a publié un correctif. Progress a publié trois correctifs le 6 juillet pour plus de vulnérabilités. “Nous restons concentrés sur le soutien de nos clients en les aidant à prendre les mesures nécessaires pour renforcer davantage leurs environnements, notamment en appliquant les correctifs que nous avons publiés”, a déclaré un porte-parole de Progress. “Nous continuons à travailler avec des experts en cybersécurité de pointe pour enquêter sur le problème et nous assurer que nous prenons toutes les mesures de réponse appropriées.”

Des informations personnelles sur des millions de personnes ont été exposées dans des piratages MoveIt dans des entreprises allant du géant de l’énergie

Coquille

à la chaîne de télévision britannique BBC, ainsi qu’à Agences gouvernementales américaines y compris le service de l’énergie.

Les effets à long terme de quantités importantes de données personnelles exposées pourraient être préjudiciables aux entreprises ainsi qu’à leurs clients et employés, a déclaré Callow. Les fuites de données peuvent alimenter de futurs piratages ciblant des individus, a-t-il déclaré, et les entreprises font souvent face à de longues actions en justice après de telles grèves.

Compagnie d’assurance-vie

Financière Genworth

a déclaré que les pirates ont accédé aux données de 2,5 à 2,7 millions de ses clients et agents d’assurance, y compris les numéros de sécurité sociale, les dates de naissance, les noms et adresses. Genworth a déclaré qu’il n’utilisait pas MoveIt mais qu’il était affecté par son fournisseur de recherche sur la population, PBI Research Services, qui le fait. PBI a déclaré avoir appris qu’elle avait été attaquée le 2 juin et avoir contacté les clients concernés. Dans un dossier déposé auprès du département américain de la Santé et des Services sociaux le 14 juillet, PBI a déclaré que les données personnelles d’environ 1,2 million de personnes avaient été exposées lors de l’incident.

Une porte-parole de Genworth a déclaré que la société “s’est concentrée sur la collaboration avec PBI pour comprendre l’impact spécifique”.

Genworth était l’un des six fournisseurs qui ont informé l’Université d’État du Colorado qu’il était affecté par les exploits de MoveIt, a déclaré l’université dans un communiqué. Il est difficile de comprendre quelles données ont été affectées, a déclaré une porte-parole de l’université.

“De nouveaux détails émergent quotidiennement de MoveIt et d’autres fournisseurs tiers, de sorte que l’université ne dispose pas encore d’informations complètes sur la mesure dans laquelle nos données ont été impliquées, y compris des détails sur les données universitaires qui pourraient avoir fait partie de l’incident”, a déclaré le a déclaré la porte-parole.

Les pirates ont mené plusieurs attaques de la chaîne d’approvisionnement sur des outils technologiques largement utilisés qui se sont propagés aux entreprises et aux gouvernements du monde entier, y compris ceux contre les éditeurs de logiciels. SolarWinds en 2020 et Caissière en 2021. Une cyberattaque en 2021 contre un outil similaire à MoveIt—l’appliance de transfert de fichiers d’Accellion—avait effets d’entraînement similaires.

Certaines entreprises qui avaient précédemment déclaré avoir été touchées par l’attaque ont récemment divulgué plus de détails. En juin, Shell a déclaré avoir été affectée par un piratage de MoveIt. Le 4 juillet, Shell a déclaré que certaines informations personnelles sur les employés de son unité BG Group avaient été consultées. “Nous prenons des mesures pour informer les personnes concernées afin de les aider à faire face aux risques potentiels”, a déclaré un porte-parole.

De nombreuses entreprises ne savent peut-être pas si leurs fournisseurs ont été touchés par des attaques sur MoveIt, ce qui oblige les cyber-équipes à passer du temps à enquêter si cela pourrait être le cas, a déclaré Suzie Squier, présidente du Retail and Hospitality Information Sharing and Analysis Center, une organisation à but non lucratif qui aide les entreprises. du secteur pour échanger des informations sur les cybermenaces.

“C’est un effet de ruissellement”, a-t-elle déclaré.

Le 7 juillet, un projet de recours collectif a été déposé contre l’Université Johns Hopkins et son système de santé au nom des employés et des patients dont les informations ont été exposées lors d’une attaque MoveIt.

“La confidentialité et la sécurité des membres de la communauté Johns Hopkins et de nos patients sont notre priorité absolue, et nous sommes activement en train de communiquer avec les personnes concernées”, a déclaré une porte-parole de Johns Hopkins.

Les entreprises victimes continuent de faire surface, a noté Callow d’Emsisoft. “Cet incident va être extrêmement coûteux”, a-t-il déclaré.

Écrivez à Catherine Stupp à [email protected]