MOVEit Reconditionné et recyclé

Le plus gros repackaging et republié d'une ancienne fuite

En novembre 2024, un pirate informatique connu sous le pseudonyme de « Nam3L3ss » aurait divulgué des données jusque-là confidentielles issues de la fuite de données de MOVEit survenue en mai 2023. Cette fuite consistait en : des millions d'enregistrementsCette fuite de données, qui inclut des informations sensibles sur des employés et des entreprises de grandes marques, aggrave considérablement son impact. En creusant un peu, on découvre que Nam3L3ss se présente comme un hacktiviste qui libère des informations issues de nombreuses fuites antérieures, et pas seulement de MOVEit.

Histoire de MOVEit

MOVEit est un logiciel de transfert de fichiers géré, produit par Ipswitch, Inc., désormais filiale de Progress Software. MOVEit chiffre les fichiers et utilise le protocole FTP (File Transfer Protocol) pour transférer les données. Le 31 mai 2023, Progress a révélé une vulnérabilité d'injection SQL avant authentification. dans MOVEit Transfer et Cloud, ultérieurement attribué CVE-2023-34362Cette vulnérabilité s'est avérée être une faille zero-day activement exploitée.

Des attaquants ont exploité cette vulnérabilité sur des serveurs exposés au public, ce qui leur a permis de déployer un shell web appelé « LemurLoot », Ces fichiers étaient dissimulés sous l'apparence de fichiers ASP.NET légitimes, ce qui a permis l'exfiltration de données sensibles des organisations concernées.

En mai 2023, le groupe de Rançongiciels Cl0p a exploité une faille zero-day pour accéder aux instances MOVEit du monde entier. Cl0p a publié un article de blog concernant cette violation de données, avertissant les organisations touchées qu'elles avaient jusqu'au 14 juin pour payer une rançon sous peine de voir leurs données divulguées. Parmi les organisations dont les données ont été divulguées en juin 2023 figuraient le gouvernement de la Nouvelle-Écosse, la BBC, British Airways et le département de l'Énergie des États-Unis, parmi des centaines d'autres.

Cl0p a extorqué des victimes durant les mois de juin, juillet et août, en publiant des photos de ses victimes et en diffusant leurs données via BitTorrent. Puis, plus aucune nouvelle.

L'ascension de Nam3L3ss

Plus d'un an après, Nam3L3ss a affirmé détenir des données relatives à MOVEit provenant d'entreprises importantes. Ces fuites, non revendiquées auparavant par Cl0p, ont alimenté les spéculations quant à leur origine. Bien que paraissant nouvelles, ces données sont en réalité des données remaniées issues de la fuite de Cl0p. Il s'agit du plus important remaniement d'informations anciennes jamais réalisé.

Les données remaniées ont été extraites, pour l'instant, des fichiers compromis de quatre entreprises victimes de la fuite de données Cl0p MOVEit. Nam3L3ss a stratégiquement réorganisé et remanié les données des entreprises touchées par cette fuite, en les présentant de manière à mettre en avant ses clients les plus importants. Par exemple, Société A, un entrepreneur pour Société B, avait ses fichiers compromis contenant un répertoire étiqueté « Société B ». Nam3L3ss a extrait et divulgué ce répertoire séparément, en le baptisant « Société B » pour en amplifier l’importance.

Cette approche a transformé une fuite massive et désorganisée en une publication ciblée, nommant et organisant les documents en fonction des clients identifiables plutôt que des contractants initiaux. Cette tactique de remaniement, probablement destinée à maximiser l'attention du public, a pour conséquence d'accroître la pression sur les entreprises impliquées.

Nam3L3ss est un hacktiviste qui se réclame de la libération des données. Il a publié un manifeste sur les forums de Breach et tient un blog à l'adresse nam3l3ss.bearblog[.]dev. Voici un extrait de son blog :

Les données que je publie ne sont PAS un secret, tout ce que je publie, les criminels le possèdent déjà !
Il n'y a que les politiciens, les agences gouvernementales et, malheureusement, le public en général qui font l'autruche face à la quantité d'informations les concernant, et notamment d'informations extrêmement personnelles, qui circulent sur Internet !
J'en ai assez que les gouvernements autorisent les entreprises à VENDRE des données personnelles et que les courtiers en données offrent une sécurité et une protection déplorables à leurs propres données.
À qui appartiennent réellement vos données ? Sont-elles vos données ou les entreprises en sont-elles propriétaires et ont-elles le droit de les vendre à qui elles veulent ?
Réfléchissez-y un instant : les entreprises vous considèrent, vous et vos informations, comme leur propriété ! Elles prétendent que vos données ne vous appartiennent pas et sont donc libres de les vendre à qui elles veulent, quand elles veulent, sans que vous ayez votre mot à dire !

Nam3L3ss insiste sur le fait qu'il n'est pas affilié au Rançongiciels Cl0p.

Bien qu'il insiste (voir la capture d'écran du message sur le forum ci-dessous pour plus de détails), nous avons jusqu'à présent confirmé que toutes les violations reconditionnées que nous avons examinées provenaient de la violation MOVEit de 2023.

Voici la liste des infractions qui lui seraient reprochées :

• Cl0p : 16.9 To
• Méduse : 10.3 To
• Snatch : 8.8 To
• Ragnar_Locker : 871.9 Go
• Qilin : 765.5 Go
• EXConfidentiel : 746.9 Go
• Marketo : 735.9 Go
• Revil-Sodinokibi-Happy[.]Blog : 569.2 Go
• Lockbit : 343.2 Go
• Néfilim : 314.6 Go
• CL0P-TA505 : 281.8 Go
• Lorenz : 254.3 Go
• Suncrypt : 239.0 Go
• Avaddon : 200.5 Go
• EVEREST : 198.3 Go
• DARKSiDE : 148.2 Go
• 00[.]Station balnéaire : 133.4 Go
• Blackmatter : 124.3 Go
• Anonyme : 123.8 Go
• Conti-Ryuk : 112.2 Go
• Phineas Fisher : 98.7 Go
• cdn.databases[.]aujourd'hui : 80.6 Go
• PlayMédias et actualités : 74.6 Go
• Cuba : 70.6 Go
• Ragnar : 63.5 Go
• Babuk : 61.6 Go
• Mount[.]Locker : 60.4 Go
• ContiMédias et actualités : 33.4 Go
• Vice[.]Society : 16.8 Go
• AtomSilo : 16.3 Go
• 5c4qycmxc2xk4t6p64xyz6f4z7: 14.7GB
• Pysa : 14.3 Go
• DoppelPaymer : 6.5 Go
• Lockbit 2.0 : 5.1 Go
• Lulzsec : 5.0 Go
• 0 Mo : 4.6 Go
• f[u]ck[.]delivery : 3.1 Go
• atlaszppqsv6mu7[.]oignon : 1.5 Go
• nuclearleaks[.]com : 1.1 Go
• RansomEXX : 1.1 Go
• AvosLocker : 718.7 Mo
• Grief : 601.0 Mo
• [EXCONFIDENTIEL] : 594.1 Mo
• Payload[.]bin : 405.5 Mo
• nexeya[.]com : 89.1 Mo

Le reconditionnement rendu possible par les chaînes d'approvisionnement

Ces quatre entités étaient des sous-traitants de grandes entreprises, fournissant des services intégrés à leurs opérations. Bien qu'une entreprise puisse investir massivement dans sa propre infrastructure de sécurité, sa sécurité globale reste limitée par son maillon le plus faible. La surveillance de la chaîne d'approvisionnement n'est pas une simple précaution, mais une nécessité pour atténuer les risques de failles de sécurité chez les sous-traitants et fournisseurs.

Les clients de Flare peuvent accéder à un article TLP:Amber dans notre centre de recherche couvrant les victimes de la violation telles que divulguées par Nam3L3ss au 6 décembre 2024. 

Nous tenons à remercier Estelle Ruellan, Olivier Bilodeau, Tammy Harper et Mathieu Lavoie pour leur contribution à cet article.

Enquêtes et avertissements sur le Dark Web

La fusée Gestion de l'exposition aux menaces (TEM) Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.

Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.