nombre de morts Affecté par l’attaque massive de rançongiciels, causée par un bogue dans un outil de transfert de données populaire utilisé par les entreprises du monde entier, il continue de croître car une autre organisation a déclaré à TechCrunch qu’il avait également été piraté.
Le géant canadien de la finance Investissement Québec a confirmé à TechCrunch que “certaines informations personnelles des employés” ont récemment été volées par un groupe de logiciels de rançon qui, selon lui, a violé des dizaines d’autres entreprises. La porte-parole de la société, Isabelle Fontaine, a déclaré que l’incident s’était produit chez Fortra, anciennement HelpSystems, qui développe l’outil vulnérable de transfert de fichiers GoAnywhere.
La société énergétique Hitachi a également confirmé cette semaine que certaines des données de ses employés avaient été volées lors d’un incident similaire impliquant le système GoAnywhere, mais a déclaré que l’incident s’était produit à Fortra.
Au cours des derniers jours, le gang Clop lié à la Russie a ajouté plusieurs autres organisations à son site Web sombre, qu’il utilise pour faire chanter davantage les entreprises en menaçant de divulguer les fichiers volés à moins qu’une rançon ne soit payée.
TechCrunch a appris que des dizaines d’organisations utilisaient le logiciel de transfert de fichiers GoAnywhere affecté au moment de l’attaque du ransomware, ce qui indique que d’autres victimes pourraient avoir émergé.
Cependant, alors que le nombre de victimes de piratage de masse augmente, l’impact connu est au mieux vague.
130 organisations
Depuis l’attaque de fin janvier ou début février – la date exacte est inconnue – Clop a révélé que moins de la moitié des 130 organisations qu’il prétend avoir été piratées via GoAnywhere, un système qui peut être hébergé dans le cloud ou sur un réseau d’entreprise permettant aux entreprises pour transférer en toute sécurité d’énormes collections de données et d’autres fichiers volumineux.
Il n’est pas clair si Fortra, qui n’a pas commenté publiquement l’incident, sait encore quels clients ont été touchés. Lorsqu’ils ont été contactés par e-mail avant la publication, les porte-parole de Fortra, Mike Devine et Rachel Woodford, n’ont fait aucun commentaire ni répondu à aucune de nos questions, y compris si les systèmes internes GoAnywhere de Fortra hébergeant les données des clients ont également été soumis au piratage de masse.
Les détails ne sont apparus que le 2 février après que le journaliste de sécurité indépendant Brian Krebs a signalé pour la première fois les détails du bogue, que Fortra avait caché derrière un écran de connexion sur son site Web. Fortra a publié des correctifs de sécurité pour GoAnywhere cinq jours plus tard, le 7 février.
À ce moment-là, les pirates avaient déjà volé de grandes quantités de données à de nombreuses victimes.
Le géant de la santé Community Health Systems, l’un des plus grands fournisseurs de soins de santé aux États-Unis, a été le premier à confirmer qu’il était l’une des 130 entreprises présumées victimes du piratage, affirmant qu’au moins 1 million de patients se sont fait voler leurs informations de santé. ceux qui sont touchés. Système GoAnywhere. Le géant de la finance numérique Hatch Bank a ensuite confirmé une brèche liée au bug GoAnywhere, puis le géant de la cybersécurité Rubrik. La liste ne cesse de s’allonger.
Les sociétés cotées démentent le vol de données
On ne sait pas si Clop sait encore quelles données il a volées dans le smash-and-grab numérique. TechCrunch a contacté certaines organisations connues pour utiliser GoAnywhere qui ont été récemment ajoutées au site Clop pour une fuite. Beaucoup d’entre eux ont répondu qu’ils n’étaient pas concernés.
La startup du logiciel de paiement AvidXchange, l’un des derniers ajouts de Clop, a déclaré à TechCrunch que bien qu’elle utilise GoAnywhere pour transférer des fichiers vers une entreprise spécifique qui imprime ses chèques, l’entreprise ne stocke aucune donnée sur la plate-forme Fortra.
“Notre expertise corrobore notre conclusion à ce sujet”, a déclaré Olivia Sorrells, porte-parole d’AvidXchange. “Fortra a informé AvidXchange de la vulnérabilité, du remède et des résultats de son enquête concernant le compte GoAnywhere d’AvidXchange dans la semaine où (la vulnérabilité) a été rendue publique”, a déclaré le porte-parole. “GoAnywhere a supprimé l’instance hors ligne d’AvidXchange dès que GoAnywhere a pris connaissance de l’incident pour empêcher tout accès non autorisé à la plate-forme.”
Le site de fuite Clop indique que les données d’AvidXchange “arrivent bientôt”.
Le géant des grands magasins Saks Fifth Avenue, qui a été ajouté au site de la fuite de Clop cette semaine, a déclaré à TechCrunch que les pirates ont exploité une vulnérabilité GoAnywhere pour voler de fausses données client de ses systèmes. “Les données client factices n’incluent pas les informations réelles sur les clients ou les cartes de paiement et ne sont utilisées que pour simuler les commandes des clients à des fins de test”, a déclaré le porte-parole de Sachs, Nicola Schoenberg.
Un certain nombre d’autres organisations qui ont récemment été ajoutées au site Clop ont refusé de commenter lorsqu’on leur a demandé si les systèmes GoAnywhere – que Fortra est censé héberger principalement – avaient été affectés.
Cela inclut le géant pharmaceutique suisse Galderma, dont le porte-parole, Christian Marko, a refusé de répondre à nos questions ; ITx Companies, un fournisseur de centres d’appels de soins de santé, dont le PDG Philip Gower a refusé de commenter ; la start-up de santé mentale pour enfants Brightline, dont la PDG Naomi Allen s’en est remise au porte-parole John O’Connor, qui a refusé de commenter ; l’organisateur de l’événement Emerald Expositions, dont la porte-parole Beth Cowperthwaite a refusé de commenter ; et MedMinder, dont la porte-parole Stacy Clogerty a déclaré que MedMinder était “au courant des allégations” mais a refusé de commenter davantage au cours de l’enquête de la société.
Aucune des entreprises n’a contesté être cliente de GoAnywhere.
Clop a publié des échantillons de données prétendument volées à Onex, vues par TechCrunch, y compris des formulaires fiscaux W-9, des ordres de paiement et des informations sur les employés, y compris les noms, les sexes et les adresses e-mail. Onex n’a pas renvoyé les demandes de commentaires.
Une organisation identifiée par TechCrunch comme client de GoAnywhere mais pas encore répertoriée par Clop est la ville de Toronto, qui a déclaré qu’elle n’était pas affectée par le piratage de masse. “La ville et Furtra ont mené un examen et n’ont trouvé aucune fuite de données interne ou résidente”, a déclaré la porte-parole de la ville, Ashika Weil.
D’autres utilisateurs GoAnywhere identifiés n’ont pas répondu aux multiples demandes de commentaires, notamment le fournisseur canadien de réadaptation et de santé mentale Homewood Health; Partenariat Guinness en Angleterre ; la société de banque de détail Avidia Bank ; Médix Santé ; Cornerstone Home Lending et le géant colombien de l’énergie Grupo Vanti.
Lorenzo Franceschi-Pecchiray y a contribué.
Si vous en savez plus sur le bogue ou la violation de Fortra, vous pouvez contacter en toute sécurité Carly Page sur Signal au +441 536 853968 ou par e-mail. Vous pouvez également contacter Zack Whittaker sur Signal et WhatsApp au +1 646-755-8849 ou zack.whittaker@techcrunch.com. Vous pouvez également contacter TechCrunch via SecureDrop.