1 million de dollars pour un 0Day QuickBook

Le Service Veille ZATAZ a repéré un pirate informatique prêt à mettre 1 million de dollars sur la table pour une faille QuickBooks.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Un 0Day à 1 million de dollars ! Un pirate cherche à acheter une vulnérabilité RCE pour QuickBooks, un logiciel comptable destiné au suivi des revenus et des dépenses. Cl0P veut-il refaire le coup « Accellion » ?

L’histoire du groupe de cybercriminalité Cl0p et de leurs attaques sur les logiciels comptables et d’autres infrastructures critiques est un exemple frappant des menaces croissantes posées par les cyberattaques à travers le monde. La recherche de 0day, une faille informatique inconnue, est une priorité pour certains pirates. Je reviendrai sur Cl0P un peu plus bas dans cet article.

La vulnérabilité 0DAY, ou jour zéro, vise aussi bien les logiciels que le matériel informatique. Le 0Day est découvert par des cybercriminels avant que le développeur ou l’éditeur du logiciel ne soit au courant de son existence. Comme le développeur ne connaît pas encore la faille, il n’existe pas de correctif ou de mise à jour pour la combler. Des entreprises spécialisées dans l’achat et la revente de Zero-Day ont gagné beaucoup d’argent avec ces découvertes, certaines revendant au plus offrant des failles détectées dans des navigateurs, des logiciels et autres appareils mobiles (smartphones, etc.).

À noter que ce business est en perte de vitesse, comme le soulignait récemment Intelligence Online. Des sociétés comme Zerodium sont en perte de vitesse au point que certaines sont en train de fermer. Un petit Schweppes, et ça repart ?

Les inventeurs de 0Day n’ont plus confiance en ces « brokers », qui revendent des failles à des acheteurs souvent « troubles », et à des prix complètement fous. En conséquence, les inventeurs de 0Day préfèrent revendre eux-mêmes leurs découvertes, qu’il s’agisse de la vulnérabilité 0Day ou de l’exploit 0Day. La différence étant que l’exploit 0Day est le code ou la « méthode » utilisé pour tirer parti d’une vulnérabilité 0Day. Les cybercriminels utilisent ces exploits pour infiltrer des systèmes, voler des données ou causer des dommages avant que la faille ne soit découverte et corrigée. C’est ce que pourrait représenter cette recherche de faille pour QuickBooks.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Pourquoi s’attaquer à un logiciel comptable ?

QuickBooks est un logiciel de comptabilité développé et commercialisé par Intuit. Il est principalement utilisé par les petites et moyennes entreprises pour gérer leurs finances et leurs opérations comptables. Le pirate veut-il refaire le coup des rançonneurs de Cl0p ? Cl0p est un groupe de cybercriminels spécialisé dans le chantage numérique. Cl0p chiffre les données des victimes et exige une rançon pour les déchiffrer. Apparu pour la première fois vers 2019, Cl0p a rapidement gagné en notoriété grâce à des attaques sophistiquées et bien ciblées. Cl0p, comme des dizaines d’autres groupes de rançonneurs (LockBit, Play, etc.), se distingue par ses tactiques de « double extorsion ». En plus de chiffrer les données, le groupe vole des informations sensibles et menace de les publier si la rançon n’est pas payée.

Parmi les cibles de Cl0p figurent des entreprises de divers secteurs, y compris des firmes utilisant des logiciels comptables sophistiqués. Les logiciels comptables sont particulièrement prisés car ils contiennent des informations financières critiques et des données sensibles sur les clients et les employés. L’une des attaques notables de Cl0p a été dirigée contre Accellion, une entreprise fournissant des solutions de transfert de fichiers sécurisés. Cette attaque a compromis les données de plusieurs grandes entreprises utilisant les services d’Accellion, y compris des logiciels comptables.

Cyberattaques et logiciels professionnels

Les attaques contre les logiciels comptables exploitent souvent des vulnérabilités dans les systèmes non mis à jour ou mal configurés. Les cybercriminels peuvent accéder aux réseaux internes des entreprises, installer des outils dédiés à la prise d’otage numérique, chiffrer les données comptables et voler des informations sensibles. En 2016, par exemple, la société Sage Group, une entreprise britannique de logiciels de gestion comptable, a subi une cyberattaque permettant à des pirates informatiques d’accéder aux informations personnelles et financières de plusieurs centaines d’entreprises clientes de Sage. Les attaquants ont utilisé les identifiants d’un employé pour accéder aux systèmes internes, compromettant ainsi les données sensibles de leurs clients.

En 2017, une campagne massive de phishing (hameçonnage) ciblée a visé des milliers de clients de QuickBooks Online. Les victimes, croyant à des communications légitimes, ont cliqué sur des liens malveillants et fourni leurs identifiants, permettant ainsi aux attaquants d’accéder à leurs comptes QuickBooks et de voler des données financières sensibles. La firme Xero a vécu la même tentative de manipulation de ses clients en 2020.

En 2019, Wolters Kluwer, un fournisseur de solutions de gestion fiscale et comptable, a été victime d’une cyberattaque. L’attaque a conduit à une interruption de service majeure, affectant les utilisateurs des logiciels comptables et fiscaux de CCH. Les cybercriminels ont utilisé des logiciels malveillants pour infiltrer les systèmes de Wolters Kluwer, compromettant ainsi la disponibilité des services pour leurs clients.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.