Des données sur pas moins de 100 000 membres du personnel de santé de la Nouvelle-Écosse ont été volées dans le cadre de l'infraction MOVEit

Les données d'au moins 100 000 employés du secteur de la santé de la Nouvelle-Écosse ont été volées en raison de la vulnérabilité de l'application de transfert de fichiers MOVEit de Progress Software, a annoncé mardi la province.

Les données volées comprennent les numéros d'assurance sociale, les adresses et les informations bancaires des employés de Nova Scotia Health, de la fonction publique et du IWK Health Centre, qui est un important hôpital pédiatrique et centre de traumatologie.

Les provinces utilisent MOVEit pour transférer les informations sur la paie. Il a commencé à notifier les victimes.

Le gang de rançongiciels Clop/Cl0p a déclaré à BleepingComputer qu'il était à l'origine des attaques de vol de données MOVEit Transfer. Pour les équipes infosec exécutant le service Defender Threat Intelligence de Microsoft, Microsoft appelle ce groupe Lace Tempest.

Selon la BBC, d'autres victimes incluent la BBC, British Airways, la chaîne de pharmacies britannique Boots et les compagnies aériennes irlandaises Aer Lingus.

La vulnérabilité zero-day d'injection SQL a été annoncée par Progress Software le 31 mai. Les chercheurs de Mandiant pensent que la première preuve d'exploitation s'est produite le 27 mai, entraînant le déploiement de shells Web et le vol de données. Dans certains cas, selon les chercheurs, des données ont été volées quelques minutes après le déploiement de shells Web.

La vulnérabilité est connue sous le nom de CVE-2023-34362.

Au cours des deux dernières années et demie, les pirates ont exploité des failles dans les applications de transfert de fichiers, notamment GoAnywhere MFT, Apera Faspex d'IBM et Accelion FTA.

De nombreux chercheurs affirment que les services informatiques qui n'ont pas installé le correctif immédiatement ou qui utilisaient des versions non affectées de la version sur site ou cloud de MOVEit devraient supposer que leurs systèmes ont été compromis.

Des chercheurs de Huntress Labs ont déclaré qu'au 1er juin, une analyse du Web à l'aide du moteur de recherche Shodan suggérait qu'il y avait plus de 2 500 serveurs accessibles au public sur Internet ouvert.

Les chercheurs de Huntress ont créé un exploit qui lui a permis de recevoir un accès au shell avec Meterpreter, de passer à NT AUTHORITY\SYSTEM de Windows et de faire exploser une charge utile de ransomware Cl0p. "Cela signifie que tout adversaire non authentifié pourrait déclencher un exploit qui déploie instantanément un rançongiciel ou effectue toute autre action malveillante", concluent les chercheurs. "Un code malveillant s'exécuterait sous l'utilisateur du compte de service MOVEit moveitsvc, qui se trouve dans le groupe d'administrateurs locaux. L'attaquant pourrait désactiver les protections antivirus ou réaliser toute autre exécution de code arbitraire."

Les chercheurs de CrowdStrike affirment que le webshell créé par un attaquant utilisera un compte d'utilisateur existant avec le niveau d'autorisation "30" ou un nouveau nom d'utilisateur généré aléatoirement pour établir une session persistante dans l'application MOVEit. Leur blog contient des instructions sur la manière dont les équipes d'infosec peuvent enquêter sur un éventuel compromis.

Les données volées pourraient être utilisées pour des attaques d'ingénierie sociale ou des rançons, a noté Tim West, responsable du renseignement sur les menaces chez WithSecure. Il a noté que British Airways a déclaré que les informations de paiement de ses employés avaient été volées, mais les organisations devraient s'attendre à ce que la majeure partie des données soit rançonnée et/ou téléchargée sur un site de fuite.

Notre équipe expérimentée de journalistes et de blogueurs vous propose des interviews approfondies, des vidéos et du contenu intéressants destinés aux professionnels de l'informatique et aux dirigeants de secteurs d'activité.