Exploitation massive de MOVEit Transfer (Cl0p)
Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.
- Victime
- Progress Software MOVEit Transfer (2 700+ en aval)
- Perte
- $12.15B
- données
- 95.0M
- utilisateurs
- 95.0M
Fin mai 2023, le groupe d’extorsion russophone Cl0p a armé la CVE-2023-34362, une injection SQL zero-day dans MOVEit Transfer de Progress Software — un logiciel de transfert de fichiers utilisé par les banques, les administrations, les prestataires de paie et les cabinets d’avocats pour déplacer des données sensibles entre organisations.
Ce qui s’est passé
Cl0p a mené la campagne comme une exploitation massive plutôt qu’en ciblant des victimes individuelles : des scanners ont martelé toutes les instances MOVEit Transfer exposées sur Internet, déposé un webshell (« LEMURLOOT »), puis exfiltré des bases de données. Les correctifs sont arrivés le 31 mai 2023, mais la plupart des victimes avaient déjà été compromises.
Plutôt que de chiffrer les données, Cl0p a choisi une extorsion pure : les organisations étaient listées sur le site de fuite du groupe avec des deadlines, et celles qui refusaient de payer voyaient leurs données publiées au fil des mois.
Conséquences
- Plus de 2 700 organisations confirmées compromises, avec Emsisoft qui a suivi la longue traîne tout au long de 2024.
- Environ 95 millions de personnes ont vu leurs données exposées — bénéficiaires Medicare américains (via Maximus), retraités britanniques (via Zellis), clients de banques allemandes.
- Victimes notables : BBC, British Airways, Boots, Aer Lingus, Shell, Sony, Deloitte, EY, PwC, département américain de l’Énergie, Johns Hopkins University, Maximus.
- Coût cumulé estimé : plus de 12 milliards de dollars (selon IBM/Ponemon).
Pourquoi c’est important
MOVEit illustre le risque amont de chaîne d’approvisionnement à l’état pur : une vulnérabilité dans un produit, exploitée à l’échelle d’Internet, propagée en aval vers des milliers d’organisations qui n’avaient jamais directement choisi MOVEit mais dépendaient d’un prestataire de paie, de comptabilité ou de remboursement qui l’utilisait. La campagne a aussi marqué la maturité opérationnelle de l’extorsion pure de données comme alternative au chiffrement — pas de chiffrement, pas d’indisponibilité, juste du levier.
Impact financier
Coûts déclarés en USD
- Rançon payée$100.0M
- Perte d’exploitation$4.50B
- Remédiation$7.00B
- Amendes & règlements$550.0M
Chronologie
Cl0p commence l’exploitation massive de la CVE-2023-34362, une injection SQL zero-day dans MOVEit Transfer.
Progress Software publie un avis d’urgence et des correctifs.
La CISA publie l’avis AA23-158A. Cl0p publie les premières victimes sur son site de fuite.
British Airways, la BBC et Boots révèlent leur impact via Zellis (un prestataire de paie britannique utilisant MOVEit).
Maximus, prestataire de services fédéraux américain, déclare jusqu’à 11 millions de dossiers compromis.
Le décompte final dépasse 2 700 organisations et environ 95 millions de personnes dans le monde.
Sources
- cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a
- progress.comhttps://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability
- emsisoft.comhttps://www.emsisoft.com/en/blog/45044/unpacking-the-moveit-breach-statistics-and-analysis/