Cl0P et le 0-day

Les hackers du groupe Cl0P indiquent être derrière la cyberattaque ayant visé GoAnywhere MFT.

Parfois, les pirates, comme les terroristes, endossent la responsabilité de certains actes, qu’il s’agisse d’une soif de gloire ou d’un désir de renforcer leur réputation dans le milieu. Quoi qu’il en soit, les pirates informatiques cachés derrière le ransomware Clop ont décidé de se manifester et d’avouer les récentes attaques de type 0-day sur GoAnywhere MFT.

Les pirates ont réussi à voler les données de plus de 130 organisations, et cela en 10 jours, en exploitant la vulnérabilité RCE CVE-2023-0669 dans des instances non corrigées de GoAnywhere MFT avec la console d’administration ouverte sur le réseau.

Via cette faille, Cl0p a pu se déplacer sur les réseaux des victimes et déployer un ransomware, mais pour une raison quelconque, il a refusé de le faire et s’est limité à voler des documents stockés sur des serveurs GoAnywhere MFT compromis.

Cl0p n’a, pour le moment, apporté la moindre preuve. Le développeur de GoAnywhere MFT a refusé de commenter les affirmations des pirates concernant CVE-2023-0669.

TA505

Des experts relient les attaques de GoAnywhere MFT à Clop et TrueBot (TA505).

L’exploitation présumée par Cl0p de la vulnérabilité GoAnywhere MFT est similaire au 0-day dans Accellion FTA qu’ils ont utilisé en décembre 2020 pour voler les données à plus de 100 entreprises.

Les victimes ont ensuite reçu des courriers électroniques leur demandant de payer une rançon de 10 millions de dollars pour éviter la diffusion des informations exfiltrées. Parmi les société impactées : Shell, Kroger, Qualys, Etc.

En juin 2021, la police Ukrainienne mettait fin aux agissements de plusieurs membres du groupe Cl0p.

Six présumés pirates poursuivis par les Etats-Unis et la Corée du Sud. Du matériel informatique, des dizaines de milliers de dollars, des voitures de luxe avaient été saisis via 21 perquisitions dans la région de Kiev.

Le 25 juin, le site Cl0P annonçait de nouvelles victimes !