Cabinet d’avocats et cybercriminels s’affrontent sur la source des données volées

Un différend a éclaté sur la provenance des données volées entre le cabinet d’avocats américain Jones Day et le gang Ransomware Cl0p après un certain nombre d’actifs de la firme ont été divulgués sur le dark web.

En correspondance avec le Wall Street Journal, le gang Cl0p a affirmé avoir obtenu plus de 100 Go de matériel directement à partir des serveurs de Jones Day, et a déclaré qu’il a d’abord contacté l’entreprise avec des demandes de rançon le 3 Février 2021. Jones Day ne s’est pas engagé avec le gang, d’où la fuite.

Toutefois, le Wsj a poursuivi en rapportant que Jones Day – qui fait partie d’un certain nombre de cabinets d’avocats critiqués pour ses liens avec l’ancien président Trump – a nié que son réseau ait été violé et insiste sur le fait que les données ont été volées lors d’une attaque de la chaîne d’approvisionnement contre l’ancien produit de transfert de fichiers d’Accellion, l’ALE, qui a été divulguée publiquement en janvier 2021.

Lla Wsj a déclaré qu’il avait examiné certaines des données divulguées et avait en effet trouvé des preuves de fichiers de configuration Accellion et des journaux montrant des liens clairs vers Jones Day.

Accellion a d’abord été informé d’une vulnérabilité de zéro jour dans son produit FTA – qui approche de toute façon de toute façon de la fin de vie – en décembre 2020. Il a publié un patch dans les 72 heures, mais l’incident initial s’est avéré être seulement le premier d’une série d’exploits utilisés pour attaquer son service au cours des semaines suivantes.

« Notre dernière publication de l’ALE a permis de remédier à toutes les vulnérabilités connues à l’heure actuelle », a déclaré Frank Balonis, de l’OICS d’Accellion. « Les exploits futurs, cependant, sont une menace constante. Nous avons encouragé tous les clients de l’ALE à migrer vers les cerfs-volants au cours des trois dernières années et avons accéléré nos plans de fin de vie de l’ALE à la lumière de ces attaques.

« Nous demeurons déterminés à aider nos clients de l’ALE, mais nous les exhortons vivement à migrer vers les kiteworks dès que possible. »

Parmi les autres victimes connues des attentats d’Accellion figurent la Reserve Bank of New Zealand (Te Pūtea Matua), l’État américain de Washington et l’Australian Securities and Investments Commission.

Brett Callow d’Emsisoft a déclaré: « Si Cl0p a publié les données de Jones Day et Jones Day dit que les données divulguées à la suite de l’attaque sur Accellion, la conclusion logique serait que Cl0p était responsable de cette attaque – ce qui signifie qu’ils peuvent avoir des données relatives à d’autres clients Accellion. »

James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4, a déclaré que, comme pour l’incident de SolarWinds qui se déroule encore, les cybercriminels concentraient naturellement leurs attaques sur des tiers et des fournisseurs de services, comme Accellion, qui soutiennent de nombreux clients.

« Ces organisations voudront revoir et élever leurs programmes de sécurité pour s’assurer qu’elles ne subissent pas de violation, ce qui conduit à un compromis similaire », a déclaré M. McQuiggan. « Ces attaques endommagent les clients et les clients de l’organisation et n’ont pas n’à nuire à la réputation et aux résultats possibles de cette organisation.

« Avec une organisation qui fournit d’importants transferts de fichiers, l’une des raisons pour eux de protéger leurs données est de chiffrer les données avant de les transférer et de les protéger du fournisseur tiers. Lors de la livraison au récepteur, ils auraient la clé pour décrypter et visualiser les données.