Clop
Clop (parfois écrit « Cl0p ») est une organisation cybercriminelle connue pour ses techniques d'extorsion à plusieurs niveaux et sa distribution mondiale de logiciels malveillants. Clop a extorqué près de 500 millions de dollars en paiements de rançon, ciblant de grandes organisations à travers le monde. Clop s'est fait connaître en 2019 et a depuis mené des attaques de haut niveau, utilisant des campagnes d'hameçonnage à grande échelle et des logiciels malveillants sophistiqués pour infiltrer les réseaux et exiger une rançon, menaçant de divulguer des données en cas de non-paiement des demandes.
Clop utilise de plus en plus des approches d'extorsion pure avec des « rançongiciels sans chiffrement ». Le groupe utilise également des attaques plus complexes, telles que les attaques de type zero-day, qui ont un impact significatif et lui permettent d'exiger des rançons plus élevées.
Description
modifierClop est un gang de rançongiciels russophone[1]. Il est connu pour avoir compromis de grandes organisations à travers le monde en utilisant des techniques d'extorsion à plusieurs niveaux. Les estimations du cumul des rançons extorquées s’élèvent à 500 millions USD en novembre 2021[2]. Selon le Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, Clop « est à l'origine des tendances mondiales en matière de distribution de logiciels malveillants criminels »[3]. Clop évite d'attaquer les organisations basées dans les anciens pays soviétiques et ses logiciels malveillants ne peuvent pas pénétrer un système fonctionnant avec le russe pour langue principale[3].
En 2023, Clop utilise de plus en plus des approches d'extorsion pure avec des « rançongiciels sans chiffrement » qui sautent le processus de chiffrement mais menacent toujours de faire fuiter les données si la rançon n'est pas payée. Cette technique leur permet de générer des profits plus importants[4].
Clop a l'habitude d'attaquer pendant les vacances, lorsque le nombre de personnes présentes dans les entreprises est au plus bas. C'est le cas de l'attaque du logiciel Accellion FTA le 23 décembre 2020, et de l'attaque MOVEit pendant l'été 2023[5].
Les cybercriminels revendiquent l'effacement « immédiat » des données concernant « l'armée, les hôpitaux pour enfants, GOV, etc »[5].
Histoire
modifierPremières attaques
modifierL'organisation criminelle est repérée pour la première fois par des chercheurs en février 2019. Son malware provient d'une variante de la famille de rançongiciels « CryptoMix ». Clop est un rançongiciel en tant que service (RaaS)[2].
En décembre 2019, l'université de Maastricht est attaquée par Clop. Le rançongiciel chiffre l’ensemble des systèmes Windows utilisés par l'Université, empêchant les étudiants et les membres du personnel d'accéder aux services en ligne de l'université pendant les vacances de Noël[6]. L’université accepte de payer les 200 000 € demandés, avec un transfert en Bitcoin. Les cours reprennent à temps le 6 janvier, la plupart des services en ligne étant à nouveau disponibles pour les étudiants et les membres du personnel[7]. En 2020, le parquet saisit le compte de crypto-monnaie sur lequel la rançon avait été payée. Une fois la rançon convertie de Bitcoin en euros, l'université récupère 500 000 €, soit le double de ce qu'elle avait payé[8].
En avril 2020, Clop fait sa première tentative d'utilisation du système de double extorsion en rendant publiques les données d'une société pharmaceutique sur leur site de fuite. Depuis, la rançon n'est plus seulement nécessaire pour retrouver ses données, mais aussi pour éviter de les voir rendues publiques sur le web[2].
Accellion FTA attack (2020)
modifierAccellion, une société qui fournit un service de transfert de fichiers, connait une série de fuites de données à la mi-décembre 2020. Les acteurs de la menace profitent ainsi de vulnérabilités zero-day et d'un shell web connu sous le nom de DEWMODE pour pénétrer dans les systèmes d'une centaine d'entreprises utilisant le FTA d'Accellion. Les données volées comprennent des fichiers sensibles[9].
Les attaques sont attribuées au gang Clop et à FIN11, bien qu'aucun rançongiciel n'ait été déployé lors de ces incidents. Après avoir exfiltré les données, les attaquants menacent de rendre les informations volées publiques à moins qu'une rançon ne soit payée. Plusieurs organisations sont victimes de ces violations, notamment Kroger, Singtel, l'Institut de recherche médicale QIMR Berghofer, la Reserve Bank of New Zealand, l'ASIC et l'Office of the Washington State Auditor[9].
En juin 2021, une coalition mondiale visant à démanteler les cartels de rançongiciels impliquant des forces de l'ordre et des partenaires privés conduit à l'arrestation en Ukraine de six membres présumés de Clop. Les cybercriminels poursuivent leur activité après cette arrestation[2].
En novembre 2021, Clop exploite la vulnérabilité SolarWinds Serv-U (CVE-2021-35211) pour s'introduire dans les réseaux d'entreprise et y installer leur rançongiciel[2]. Le même mois, Clop pirate le système d'information d'un géant des services maritimes dont le siège est à Singapour pour voler des informations commerciales confidentielles et des données sur les employés[2].
GoAnywhere MFT attack (2023)
modifierEn janvier 2023, le gang revendique l'intrusion dans plus de 130 organisations en exploitant une vulnérabilité zero-day dans l'outil de transfert de fichiers sécurisé GoAnywhere MFT. Cette faille de sécurité (CVE-2023-0669) permet aux attaquants d'exécuter du code à distance sur des instances de GoAnywhere MFT dont la console d'administration est exposée à Internet[10].
MOVEit exploitation (2023)
modifierEn 2023, Clop utilise des attaques plus complexes, qui ont un impact significatif et leur permettent d'exiger des rançons plus élevées. C'est le cas de l'attaque zero day MOVEit Transfer. Leur objectif est, dans un contexte de baisse générale des paiements de rançons, de pouvoir exiger des montants substantiels de leurs victimes[11].
En 2023, le gang revendique le piratage des organisations suivantes : la BBC et British Airways[12], Estee Lauder[13], 1st Source, First National Bankers Bank, Putnam Investments, Landal Greenparks, Shell[14], the New York City Department of Education[15] et Ernst & Young[16].
En juillet 2023, les estimations de gain par Clop grâce à ses attaques utilisant la vulnérabilité MOVEit Transfer se situent entre 75 et 100 millions de dollars[11]. En France, les entreprises touchées par l'attaque sur MOVEit sont Synlab (diagnostics médicaux) et Cegedim (logiciels métier pour les professionnels de la santé)[17].
Méthodes
modifierClop utilise de grandes campagnes d'hameçonnage. Les e-mails contiennent des pièces jointes HTML qui redirigent les destinataires vers un document avec macros utilisé pour installer un chargeur nommé « Get2 ». Ce chargeur facilite le téléchargement d'autres outils tels que SDBOT, FlawedAmmyy et Cobalt Strike. Une fois dans le système, le gang procède à la reconnaissance, au déplacement latéral et à l'exfiltration pour préparer le terrain pour le déploiement de son rançongiciel. Ensuite, Clop envoi des e-mails dans le but de négocier la rançon avec les victimes. Si leurs messages sont ignorés, ils menacent de publier les données sur leur site Web dédié aux fuites de données « Cl0p^_-Leaks »[2].
Plus récemment, il a été signalé que Clop utilisait le logiciel malveillant TrueBot pour accéder aux réseaux. Le chargeur déployé par le groupe de pirates « Silence » affecte plus de 1 500 systèmes dans le monde en 2023[18].
Clop cible des réseaux entiers au lieu d'ordinateurs individuels en piratant le serveur Active Directory (AD) avant l'infection par rançongiciel. Cela permet au maliciel de persister dans les endpoints même après le nettoyage de ceux-ci en cas d'incident. Le ransomware Clop ajoute l'extension « . ClOP » (« Clop » épelé avec un petit « L ») aux fichiers qu'il chiffre[2].
Références
modifier- (en) Lyngaas, « Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data | CNN Business », CNN, (consulté le )
- (en) « Ransomware Spotlight: Clop - Security News », www.trendmicro.com (consulté le )
- (en) « Ransomware Gang Haunted US Firms Long Before MOVEit Hack », Bloomberg.com, (lire en ligne, consulté le )
- (en) Ross Kelly published, « Encryption-less ransomware: Warning issued over emerging attack method for threat actors », sur ITPro, (consulté le )
- (en-US) « Clop ransomware claims responsibility for MOVEit extortion attacks », sur BleepingComputer (consulté le )
- « Cyber attack - a summary », Maastricht University (consulté le )
- Bannister, « Ransomware attack: Maastricht University pays out $220,000 to cybercrooks », The Daily Swig (consulté le )
- (en) « Dutch university wins big after Bitcoin ransom returned – DW – 07/02/2022 », dw.com (consulté le )
- (en-US) « Global Accellion data breaches linked to Clop ransomware gang », sur BleepingComputer (consulté le )
- (en-US) « Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day », sur BleepingComputer (consulté le )
- (en-US) « Clop gang to earn over $75 million from MOVEit extortion attacks », sur BleepingComputer (consulté le )
- (en) Sean Lyngaas, « Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data | CNN Business », sur CNN, (consulté le )
- (en-US) « Estée Lauder beauty giant breached by two ransomware gangs », sur BleepingComputer (consulté le )
- (en-US) Carly Page, « Ransomware gang lists first victims of MOVEit mass-hacks, including US banks and universities », sur TechCrunch, (consulté le )
- (en-US) « Clop ransomware gang obtained personal data of 45,000 New York City students in MOVEit hack », sur Engadget (consulté le )
- Théo Janvier, « EY à son tour piraté ? Des données mises en vente » , Journal du Net, (consulté le )
- Gabriel Thierry, « Palmarès 2023 : le triste bilan du hack de MOVEit, le piratage le plus marquant de l’année » , ZD Net, (consulté le )
- (en-US) « Clop ransomware uses TrueBot malware for access to networks », sur BleepingComputer (consulté le )