Découverte en mai 2023, la faille critique du logiciel de transfert MOVEit avait d’abord été exploitée par le groupe russe Cl0p pour exfiltrer les données de milliers d’organisations et de millions de personnes. Plus récemment, un acteur inconnu répondant au pseudonyme de « Nam3L3ss » a relancé l’affaire en publiant, il y a quelques semaines, un premier lot de données d’employés issues de grandes entreprises, comme Amazon, HSBC ou encore McDonald’s. Aujourd’hui, ce hacker qui se défend d’en être un accélère le mouvement : une nouvelle salve de divulgations vient d’être confirmée, touchant cette fois les salariés de Nokia, Xerox ou encore Morgan Stanley.
780 000 données d’employés en libre accès
Décidemment, on aura rarement vu faille aussi lucrative dans le temps. Lundi matin, Nam3L3ss, le pirate qui n’en était pas un, a publié un second lot massif de données sensibles sur un célèbre forum de hackers. Cette fois, ce sont près de 760 000 informations concernant des employés de grandes entreprises comme Nokia (94 253 données), Xerox (42 735 employés), Morgan Stanley (32 861 employés), et même Bank of America (288 297) qui ont été mises en circulation. De nouvelles victimes qui s’ajoutent à une première série de divulgations, dont les motivations ne sont toujours pas claires.
Dans le détail, les données exposées incluent des noms, numéros de téléphone, adresses mail, titres de poste, immatriculations de badges d’employés et lieux de travail. Selon Zack Ganot, directeur de la stratégie chez Atlas Privacy, interrogé par The Register, « ces données sont une vraie mine d’or pour l’ingénierie sociale. Savoir exactement quel employé fait partie de quelle équipe, à qui il rend compte, quel est son numéro de badge, dans quel bâtiment il travaille, ainsi que son adresse mail et son numéro de téléphone professionnels : tout cela représente une manne inespérée pour un attaquant cherchant à exploiter une organisation. »
Si cette vague de divulgations semble découler de l’exploitation initiale de la faille MOVEit (CVE-2023-34362) fin mai 2023, rien ne permet, à ce jour, de la relier aux attaques de Cl0p, qui avaient également conduit à la mise en ligne de millions de données personnelles en mai dernier. Nam3L3ss agit a priori de manière indépendante, mais profite, lui aussi, des données compromises grâce à cette même vulnérabilité. Une multiplication des acteurs qui souligne l’impact prolongé d’une cyberattaque d’une telle ampleur.
Des tentatives de phishing bien ficelées à anticiper
La publication de ces données sur le dark web augmente invariablement les risques pour les entreprises concernées comme pour leurs employés. Du côté des organisations comme des employés, l’exposition de ces informations pourrait faciliter des attaques ciblées : usurpation d’identité, manipulation de systèmes internes, ou encore phishing crédible via des mails envoyés aux équipes.
Des conséquences qui pourraient aussi déborder sur les clients et clientes des organisations touchées. Avec des informations détaillées comme les adresses mail professionnelles, les numéros de téléphone, les matricules ou les postes occupés par les salariés touchés, les cyberattaquants peuvent se faire passer pour des internes sans trop de difficultés. De quoi s’attendre à une recrudescence de tentatives de phishing particulièrement convaincantes, capables de tromper les utilisateurs et utilisatrices les plus prudents.
D’où la nécessité de redoubler de vigilance. Si vous recevez un e-mail, un appel ou un message provenant prétendument d’une organisation avec laquelle vous êtes en contact, vérifiez systématiquement l’identité de l’expéditeur ou de l’appelant. En cas de doute, ne répondez pas directement et n’agissez pas dans l’urgence. Prenez plutôt le temps de contacter l’entreprise par des moyens officiels, en passant par son site web ou son service client.
Soyez également attentif aux détails des communications que vous recevez. Même les tentatives les plus crédibles comportent parfois des indices révélateurs : une adresse mail légèrement modifiée, un ton inhabituel, ou encore des fautes dans le message. Méfiez-vous tout particulièrement des demandes de paiements urgents ou de mise à jour de vos informations personnelles – des scénarios typiques utilisés par les cybercriminels pour inciter à des actions rapides et irréfléchies.
Enfin, un bon antivirus équipé d’un filtre anti-spam et anti-phishing peut vous aider à filtrer le plus gros des mails suspects, et donc à réduire la fenêtre d’attaque.
Sources : Dark Web Informer, The Register
