Le gang de rançongiciel Clop s’attaque à 59 organisations
Le redoutable gang de rançongiciel Clop refait parler de lui. Dans une publication sur son site de fuite du dark web, le groupe affilié à la Russie affirme avoir compromis pas moins de 59 organisations en exploitant une vulnérabilité critique dans plusieurs outils populaires de transfert de fichiers d'entreprise développés par la société américaine Cleo.
Une faille exploitée dans les produits Cleo
La faille en question, jugée à haut risque, touche les produits LexiCom, VLTransfer et Harmony de Cleo. L'éditeur avait révélé cette vulnérabilité en octobre 2024 dans un avis de sécurité, avant que des chercheurs n'observent son exploitation massive par des pirates quelques mois plus tard en décembre.
Clop prétend avoir notifié les 59 organisations piratées, mais celles-ci n'auraient pas donné suite à ses demandes de rançon. Le gang menace maintenant de publier les données volées le 18 janvier si ses exigences ne sont pas satisfaites.
Les outils de transfert de fichiers, une cible de choix
Les outils de transfert de fichiers d'entreprise sont une cible privilégiée des pirates, en particulier pour Clop, étant donné la sensibilité des données qu'ils contiennent souvent. Ces dernières années, le gang avait déjà exploité des vulnérabilités dans les produits MOVEit Transfer de Progress Software et GoAnywhere MFT de Fortra.
Confirmation et démentis des victimes présumées
Suite à cette nouvelle campagne de piratage, au moins une entreprise, le géant allemand de la chimie Covestro, a confirmé avoir été contactée par Clop et que le gang avait accédé à certaines données sur ses systèmes, notamment des informations d'expédition échangées avec ses transporteurs. Covestro assure que la majorité des données n'étaient pas sensibles.
En revanche, d'autres victimes présumées listées par Clop, comme la société de location de voitures Hertz, le logisticien australien Linfox, Arrow Electronics ou encore Western Alliance Bank, affirment n'avoir trouvé aucune preuve de compromission de leurs systèmes.
Out of an abundance of caution, we are continuing to actively monitor this matter with the support of our third-party cybersecurity partner.
Emily Spencer, porte-parole de Hertz
Le géant de la supply chain Blue Yonder, lui-même récemment piraté, figure aussi dans la liste de Clop. La société utilise les outils Cleo mais n'a pas de raison de penser que la vulnérabilité est liée à l'incident de novembre, sans toutefois apporter de preuves.
L'ampleur de l'attaque encore inconnue
Clop promet d'ajouter d'autres noms à sa liste le 21 janvier. L'étendue exacte de cette campagne de piratage n'est pas encore connue. Cleo, listée elle-même comme victime, n'a pas répondu aux questions.
Cet épisode illustre une fois de plus la nécessité pour les entreprises de renforcer leur cybersécurité et la protection de leurs données sensibles face à la menace permanente des ransomwares. La vigilance est de mise, les attaques ne faiblissent pas.
