Siemens Energy, Schneider Electric ciblés par un groupe de ransomware dans l’attaque MOVEit
- par Kenan
- , le 28 juin 2023
- 23 h 32 min
Les géants de l’énergie Schneider Electric et Siemens Energy ont confirmé avoir été la cible d’un groupe de ransomware lors de la récente campagne exploitant une vulnérabilité dans le logiciel de transfert de fichiers géré (MFT) MOVEit de Progress Software.
Le groupe de ransomwares Cl0p affirme avoir exploité une vulnérabilité zero-day de MOVEit pour accéder aux fichiers de centaines d’organisations qui utilisaient le produit MFT. Plusieurs grandes entreprises ont confirmé avoir été touchées et les cybercriminels ont commencé à nommer les victimes qui refusent de payer.
Cette semaine, les pirates ont ajouté plus d’une douzaine de victimes présumées à leur site web. L’entreprise allemande Siemens Energy, issue de la branche énergie de Siemens, et le géant français de l’automatisation et de la gestion de l’énergie Schneider Electric figurent parmi les entreprises citées cette semaine sur le site Cl0p.
Siemens Energy a confirmé qu’elle faisait partie des cibles de l’attaque MOVEit et a déclaré avoir pris des mesures immédiates en réponse à l’incident.
« D’après l’analyse actuelle, aucune donnée critique n’a été compromise et nos opérations n’ont pas été affectées », a déclaré la société dans un communiqué envoyé par courrier électronique.
Schneider Electric a déclaré que l’entreprise avait été informée de l’existence du zero-day du logiciel MOVEit le 30 mai et qu’elle avait rapidement déployé des mesures d’atténuation pour sécuriser les données et l’infrastructure.
« Par la suite, le 26 juin 2023, Schneider Electric a pris connaissance d’une plainte mentionnant que nous avons été victimes d’une cyber-attaque relative aux vulnérabilités de MOVEit. Notre équipe de cybersécurité enquête actuellement sur cette allégation », a déclaré l’entreprise. Faites défiler l’écran pour continuer à lire.
Parmi les autres grandes organisations récemment listées par Cl0p sur son site de fuite figurent Sony, EY, PwC, Cognizant, AbbVie et UCLA, mais il n’est pas certain qu’elles aient toutes été ciblées par l’attaque MOVEit.
Les attaquants ont commencé à divulguer des données prétendument volées au géant de l’énergie Shell, qui a confirmé avoir été visé par l’attaque MOVEit.
Certains éléments suggèrent que les cybercriminels connaissaient la vulnérabilité zero-day MOVEit depuis 2021, mais que les attaques de masse n’ont commencé que fin mai 2023.
Bien que certaines organisations gouvernementales aient également confirmé avoir été touchées, les pirates affirment avoir supprimé toutes les données obtenues auprès de ces entités, précisant qu’ils sont motivés par des raisons financières et qu’ils « ne se soucient pas de la politique ». Ils auraient supprimé les données obtenues auprès de plus de 30 organisations gouvernementales ou liées au gouvernement.
Les cybercriminels affirment également sur leur site web qu’ils sont le seul groupe à avoir exploité la journée zéro avant qu’elle ne soit corrigée et qu’ils sont les seuls à être en possession des données obtenues à la suite de l’attaque.