« Clop » : différence entre les versions
m les organisations |
|||
(43 versions intermédiaires par 8 utilisateurs non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
{{Ébauche|Sécurité informatique}} |
|||
{{Infobox Logiciel}} |
{{Infobox Logiciel}} |
||
'''Clop''' (parfois écrit « '''Cl0p''' ») est une organisation cybercriminelle connue pour ses techniques d'[[Rançongiciel|extorsion à plusieurs niveaux]] et sa distribution mondiale de logiciels malveillants. Clop a extorqué près de 500 millions de dollars en paiements de rançon, ciblant de grandes organisations à travers le monde. Clop s'est fait connaître en 2019 et a depuis mené des attaques de haut niveau, utilisant des campagnes |
'''Clop''' (parfois écrit « '''Cl0p''' ») est une organisation cybercriminelle connue pour ses techniques d'[[Rançongiciel|extorsion à plusieurs niveaux]] et sa distribution mondiale de logiciels malveillants. Clop a extorqué près de 500 millions de dollars en paiements de rançon, ciblant de grandes organisations à travers le monde. Clop s'est fait connaître en 2019 et a depuis mené des attaques de haut niveau, utilisant des campagnes d'[[hameçonnage]] à grande échelle et des [[Logiciel malveillant|logiciels malveillants]] sophistiqués pour infiltrer les réseaux et exiger une [[Rançongiciel|rançon]], menaçant de divulguer des données en cas de non-paiement des demandes. |
||
Clop utilise de plus en plus des approches d'extorsion pure avec des {{Citation|rançongiciels sans chiffrement}}. Le groupe utilise également des attaques plus complexes, telles que les attaques de type [[Zero day|zero-day]], qui ont un impact significatif et lui permettent d'exiger des rançons plus élevées. |
|||
== Description == |
== Description == |
||
Clop est un gang de [[Rançongiciel|rançongiciels]] russophone<ref name=":1">{{Lien web |langue=en |auteur=Lyngaas |prénom=Sean |titre=Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data {{!}} CNN Business |url=https://www.cnn.com/2023/06/07/tech/clop-russia-moveit-hack-payroll-uk/index.html |série=CNN |date=2023-06-07 |consulté le=2023-07-05}}</ref>. Il est connu pour avoir compromis de grandes organisations à travers le monde en utilisant des techniques d'extorsion à plusieurs niveaux. Les estimations du cumul des rançons extorquées s’élèvent à 500 millions USD en novembre 2021<ref name=":0">{{Lien web |langue=en |titre=Ransomware Spotlight: Clop - Security News |url=https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop |série=www.trendmicro.com |consulté le=2023-07-05}}</ref>. |
Clop est un gang de [[Rançongiciel|rançongiciels]] russophone<ref name=":1">{{Lien web |langue=en |auteur=Lyngaas |prénom=Sean |titre=Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data {{!}} CNN Business |url=https://www.cnn.com/2023/06/07/tech/clop-russia-moveit-hack-payroll-uk/index.html |série=CNN |date=2023-06-07 |consulté le=2023-07-05}}</ref>. Il est connu pour avoir compromis de grandes organisations à travers le monde en utilisant des techniques d'extorsion à plusieurs niveaux. Les estimations du cumul des rançons extorquées s’élèvent à 500 millions USD en novembre 2021<ref name=":0">{{Lien web |langue=en |titre=Ransomware Spotlight: Clop - Security News |url=https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-clop |série=www.trendmicro.com |consulté le=2023-07-05}}</ref>. Selon le [[Cybersecurity and Infrastructure Security Agency]] (CISA) des États-Unis, Clop « est à l'origine des tendances mondiales en matière de distribution de logiciels malveillants criminels »<ref name=":2">{{Article|langue=en|titre=Ransomware Gang Haunted US Firms Long Before MOVEit Hack|périodique=Bloomberg.com|date=2023-06-17|lire en ligne=https://www.bloomberg.com/news/articles/2023-06-17/ransomware-gang-haunted-us-firms-long-before-moveit-hack|consulté le=2023-07-06}}</ref>. Clop évite d'attaquer les organisations basées dans les [[États post-soviétiques|anciens pays soviétiques]] et ses logiciels malveillants ne peuvent pas pénétrer un système fonctionnant avec le russe pour langue principale<ref name=":2" />. |
||
En 2023, Clop utilise de plus en plus des approches d'extorsion pure avec des {{Citation|rançongiciels sans chiffrement}} qui sautent le processus de chiffrement mais menacent toujours de faire fuiter les données si la rançon n'est pas payée. Cette technique leur permet de générer des profits plus importants<ref>{{Lien web |langue=en |prénom=Ross Kelly |nom=published |titre=Encryption-less ransomware: Warning issued over emerging attack method for threat actors |url=https://www.itpro.com/security/ransomware/encryption-less-ransomware-warning-issued-over-emerging-attack-method-for-threat-actors |site=ITPro |date=2023-06-29 |consulté le=2023-07-28}}</ref>. |
|||
Clop a l'habitude d'attaquer pendant les vacances, lorsque le nombre de personnes présentes dans les entreprises est au plus bas. C'est le cas de l'attaque du logiciel Accellion FTA le 23 décembre 2020, et de l'attaque MOVEit pendant l'été 2023<ref name=":3">{{Lien web |langue=en-us |titre=Clop ransomware claims responsibility for MOVEit extortion attacks |url=https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks/ |site=BleepingComputer |consulté le=2023-07-28}}</ref>. |
|||
Les cybercriminels revendiquent l'effacement {{Citation|immédiat}} des données concernant {{Citation|l'armée, les hôpitaux pour enfants, GOV, etc}}<ref name=":3" />. |
|||
== Histoire == |
== Histoire == |
||
⚫ | |||
=== Premières attaques === |
|||
⚫ | En décembre 2019, [[ |
||
⚫ | |||
⚫ | En décembre 2019, l'[[université de Maastricht]] est attaquée par Clop. Le rançongiciel chiffre l’ensemble des systèmes [[Windows]] utilisés par l'Université, empêchant les étudiants et les membres du personnel d'accéder aux services en ligne de l'université pendant les vacances de Noël<ref>{{Lien web |titre=Cyber attack - a summary |url=https://www.maastrichtuniversity.nl/cyberaanval-een-overzicht |éditeur=Maastricht University |consulté le=2020-05-11}}</ref>. L’université accepte de payer les {{unité|200000|€}} demandés, avec un transfert en [[Bitcoin]]. Les cours reprennent à temps le 6 janvier, la plupart des services en ligne étant à nouveau disponibles pour les étudiants et les membres du personnel<ref>{{Lien web |auteur=Bannister |prénom=Adam |titre=Ransomware attack: Maastricht University pays out $220,000 to cybercrooks |url=https://portswigger.net/daily-swig/ransomware-attack-maastricht-university-pays-out-220-000-to-cybercrooks |éditeur=The Daily Swig |consulté le=2020-05-11}}</ref>. En 2020, le parquet saisit le compte de crypto-monnaie sur lequel la rançon avait été payée. Une fois la rançon convertie de Bitcoin en euros, l'université récupère {{unité|500000|€}}, soit le double de ce qu'elle avait payé<ref>{{Lien web |langue=en |titre=Dutch university wins big after Bitcoin ransom returned – DW – 07/02/2022 |url=https://www.dw.com/en/dutch-university-wins-big-after-bitcoin-ransom-returned/a-62337229 |série=dw.com |consulté le=2023-04-21}}</ref>. |
||
⚫ | En avril 2020, Clop fait sa première tentative d'utilisation du système de double extorsion en rendant publiques les données d'une société pharmaceutique sur leur site de fuite. Depuis, la rançon n'est plus seulement nécessaire pour retrouver ses données, mais aussi pour éviter de les voir rendues publiques sur le web<ref name=":0"/>. |
||
⚫ | En avril 2020, Clop fait sa première tentative d'utilisation du système de [[Rançongiciel_en_tant_que_service#Double_extorsion|double extorsion]] en rendant publiques les données d'une société pharmaceutique sur leur site de fuite. Depuis, la rançon n'est plus seulement nécessaire pour retrouver ses données, mais aussi pour éviter de les voir rendues publiques sur le web<ref name=":0"/>. |
||
⚫ | En novembre 2021, Clop exploite la vulnérabilité [[SolarWinds]] Serv-U (CVE-2021-35211) pour s'introduire dans les réseaux d'entreprise et y installer leur rançongiciel<ref name=":0"/>. Le même mois, Clop pirate le [[système d'information]] d'un géant des services maritimes dont le siège est à [[Singapour]] pour voler des informations commerciales confidentielles et des données sur les employés<ref name=":0" />. |
||
=== Accellion FTA attack (2020) === |
|||
⚫ | En juin 2021, une coalition mondiale visant à démanteler les cartels de rançongiciels impliquant des [[forces de l'ordre]] et des partenaires privés conduit à l'arrestation en [[Ukraine]] de six membres présumés de Clop. Les cybercriminels poursuivent leur activité après cette arrestation<ref name=":0"/>. |
||
Accellion, une société qui fournit un service de transfert de fichiers, connait une série de fuites de données à la mi-décembre 2020. Les acteurs de la menace profitent ainsi de [[Vulnérabilité zero-day|vulnérabilités zero-day]] et d'un shell web connu sous le nom de DEWMODE pour pénétrer dans les systèmes d'une centaine d'entreprises utilisant le FTA d'Accellion. Les données volées comprennent des fichiers sensibles<ref name=":4">{{Lien web |langue=en-us |titre=Global Accellion data breaches linked to Clop ransomware gang |url=https://www.bleepingcomputer.com/news/security/global-accellion-data-breaches-linked-to-clop-ransomware-gang/ |site=BleepingComputer |consulté le=2023-07-28}}</ref>. |
|||
Les attaques sont attribuées au gang Clop et à FIN11, bien qu'aucun [[rançongiciel]] n'ait été déployé lors de ces incidents. Après avoir exfiltré les données, les attaquants menacent de rendre les informations volées publiques à moins qu'une rançon ne soit payée. Plusieurs organisations sont victimes de ces violations, notamment [[Kroger]], Singtel, l'Institut de recherche médicale QIMR Berghofer, la Reserve Bank of New Zealand, l'ASIC et l'Office of the Washington State Auditor<ref name=":4" />. |
|||
En 2023, le gang revendique le piratage des données des employés de la [[BBC]] et de [[British Airways]]. Ce hack fait partie d’une suite d'attaques plus étendue autour de la vulnérabilité [[MOVEit]]<ref name=":1"/>. La meme année, le gang pirate et met en vente les données volées de [[EY (entreprise)|Ernst & Young]]<ref>{{lien web|url=https://www.journaldunet.com/solutions/dsi/1523545-ey-a-son-tour-pirate-les-donnees-mises-en-vente/ |titre=EY à son tour piraté ? Des données mises en vente|éditeur=Journal du Net|auteur=Théo Janvier|date=07-07-2023|consulté le=07-07-2023|accès url=libre}}</ref>. |
|||
⚫ | En juin 2021, une coalition mondiale visant à démanteler les cartels de rançongiciels impliquant des [[forces de l'ordre]] et des partenaires privés conduit à l'arrestation en [[Ukraine]] de six membres présumés de Clop. Les cybercriminels poursuivent leur activité après cette arrestation<ref name=":0" />. |
||
⚫ | En novembre 2021, Clop exploite la vulnérabilité [[SolarWinds]] Serv-U (CVE-2021-35211) pour s'introduire dans les réseaux d'entreprise et y installer leur rançongiciel<ref name=":0" />. Le même mois, Clop pirate le [[système d'information]] d'un géant des services maritimes dont le siège est à [[Singapour]] pour voler des informations commerciales confidentielles et des données sur les employés<ref name=":0" />. |
||
=== GoAnywhere MFT attack (2023) === |
|||
En janvier 2023, le gang revendique l'intrusion dans plus de 130 organisations en exploitant une vulnérabilité [[Zero day|zero-day]] dans l'outil de transfert de fichiers sécurisé GoAnywhere MFT. Cette faille de sécurité (CVE-2023-0669) permet aux attaquants d'exécuter du code à distance sur des instances de GoAnywhere MFT dont la console d'administration est exposée à Internet<ref>{{Lien web |langue=en-us |titre=Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day |url=https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-it-breached-130-orgs-using-goanywhere-zero-day/ |site=BleepingComputer |consulté le=2023-07-28}}</ref>. |
|||
=== MOVEit exploitation (2023) === |
|||
En 2023, Clop utilise des attaques plus complexes, qui ont un impact significatif et leur permettent d'exiger des rançons plus élevées. C'est le cas de l'attaque zero day MOVEit Transfer. Leur objectif est, dans un contexte de baisse générale des paiements de rançons, de pouvoir exiger des montants substantiels de leurs victimes<ref name="Clop gang to earn over $75 million from MOVEit extortion attacks">{{Lien web |langue=en-us |titre=Clop gang to earn over $75 million from MOVEit extortion attacks |url=https://www.bleepingcomputer.com/news/security/clop-gang-to-earn-over-75-million-from-moveit-extortion-attacks/ |site=BleepingComputer |consulté le=2023-07-28}}</ref>. |
|||
En 2023, le gang revendique le piratage des organisations suivantes : la [[BBC]] et [[British Airways]]<ref>{{Lien web |langue=en |prénom=Sean |nom=Lyngaas |titre=Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data {{!}} CNN Business |url=https://www.cnn.com/2023/06/07/tech/clop-russia-moveit-hack-payroll-uk/index.html |site=CNN |date=2023-06-07 |consulté le=2023-07-28}}</ref>, [[Estée Lauder (entreprise)|Estee Lauder]]<ref>{{Lien web |langue=en-us |titre=Estée Lauder beauty giant breached by two ransomware gangs |url=https://www.bleepingcomputer.com/news/security/est-e-lauder-beauty-giant-breached-by-two-ransomware-gangs/ |site=BleepingComputer |consulté le=2023-07-28}}</ref>, 1st Source, First National Bankers Bank, Putnam Investments, Landal Greenparks, [[Shell (entreprise)|Shell]]<ref>{{Lien web |langue=en-US |prénom=Carly |nom=Page |titre=Ransomware gang lists first victims of MOVEit mass-hacks, including US banks and universities |url=https://techcrunch.com/2023/06/15/moveit-clop-mass-hacks-banks-universities/ |site=TechCrunch |date=2023-06-15 |consulté le=2023-07-28}}</ref>, the [[New York City Department of Education]]<ref>{{Lien web |langue=en-US |titre=Clop ransomware gang obtained personal data of 45,000 New York City students in MOVEit hack |url=https://www.engadget.com/clop-ransomware-gang-obtained-personal-data-of-45000-new-york-city-students-in-moveit-hack-204655820.html |site=Engadget |consulté le=2023-07-28}}</ref> et [[EY (entreprise)|Ernst & Young]]<ref>{{lien web|url=https://www.journaldunet.com/solutions/dsi/1523545-ey-a-son-tour-pirate-les-donnees-mises-en-vente/ |titre=EY à son tour piraté ? Des données mises en vente|éditeur=Journal du Net|auteur=Théo Janvier|date=07-07-2023|consulté le=07-07-2023|accès url=libre}}</ref>. |
|||
En juillet 2023, les estimations de gain par Clop grâce à ses attaques utilisant la vulnérabilité MOVEit Transfer se situent entre {{unité|75|et=100|millions}} de dollars<ref name="Clop gang to earn over $75 million from MOVEit extortion attacks" />. En France, les entreprises touchées par l'attaque sur MOVEit sont Synlab (diagnostics médicaux) et [[Cegedim]] (logiciels métier pour les professionnels de la santé)<ref>{{lien web|url=https://www.zdnet.fr/actualites/palmares-2023-le-triste-bilan-du-hack-de-moveit-le-piratage-le-plus-marquant-de-l-annee-39963172.htm|titre=Palmarès 2023 : le triste bilan du hack de MOVEit, le piratage le plus marquant de l’année|éditeur=[[ZD Net]]|auteur=Gabriel Thierry |date=22-12-2023|consulté le=22-12-2023|accès url=libre}}</ref>. |
|||
== Méthodes == |
== Méthodes == |
||
Clop utilise de grandes campagnes |
Clop utilise de grandes campagnes d'[[hameçonnage]]. Les e-mails contiennent des pièces jointes [[Hypertext Markup Language|HTML]] qui redirigent les destinataires vers un document avec [[Macro-commande|macros]] utilisé pour installer un chargeur nommé « Get2 ». Ce chargeur facilite le téléchargement d'autres outils tels que SDBOT, FlawedAmmyy et [[Metasploit|Cobalt Strike]]. Une fois dans le système, le gang procède à la [[MITRE ATT&CK|reconnaissance]], au déplacement latéral et à l'exfiltration pour préparer le terrain pour le déploiement de son [[rançongiciel]]. Ensuite, Clop envoi des e-mails dans le but de négocier la rançon avec les victimes. Si leurs messages sont ignorés, ils menacent de publier les données sur leur site Web dédié aux fuites de données {{Citation|Cl0p^_-Leaks}}<ref name=":0"/>. |
||
Plus récemment, il a été signalé que Clop utilisait le [[logiciel malveillant]] TrueBot pour accéder aux réseaux. Le chargeur déployé par le groupe de pirates « Silence » affecte plus de {{unité|1500|systèmes}} dans le monde en 2023<ref>{{Lien web |langue=en-us |titre=Clop ransomware uses TrueBot malware for access to networks |url=https://www.bleepingcomputer.com/news/security/clop-ransomware-uses-truebot-malware-for-access-to-networks/ |site=BleepingComputer |consulté le=2023-07-28}}</ref>. |
|||
Clop cible des réseaux entiers au lieu d'ordinateurs individuels en piratant le serveur [[Active Directory]] (AD) avant l'infection par rançongiciel. Cela permet au |
Clop cible des réseaux entiers au lieu d'ordinateurs individuels en piratant le serveur [[Active Directory]] (AD) avant l'infection par rançongiciel. Cela permet au maliciel de persister dans les endpoints même après le nettoyage de ceux-ci en cas d'incident. Le ransomware Clop ajoute l'extension {{Citation|. ClOP}} ({{Citation|Clop}} épelé avec un petit {{Citation|L}}) aux fichiers qu'il chiffre<ref name=":0"/>. |
||
== Références == |
== Références == |
||
{{Références |
{{Références}} |
||
== Annexes == |
== Annexes == |
Dernière version du 9 mars 2024 à 11:06
Clop (parfois écrit « Cl0p ») est une organisation cybercriminelle connue pour ses techniques d'extorsion à plusieurs niveaux et sa distribution mondiale de logiciels malveillants. Clop a extorqué près de 500 millions de dollars en paiements de rançon, ciblant de grandes organisations à travers le monde. Clop s'est fait connaître en 2019 et a depuis mené des attaques de haut niveau, utilisant des campagnes d'hameçonnage à grande échelle et des logiciels malveillants sophistiqués pour infiltrer les réseaux et exiger une rançon, menaçant de divulguer des données en cas de non-paiement des demandes.
Clop utilise de plus en plus des approches d'extorsion pure avec des « rançongiciels sans chiffrement ». Le groupe utilise également des attaques plus complexes, telles que les attaques de type zero-day, qui ont un impact significatif et lui permettent d'exiger des rançons plus élevées.
Description
[modifier | modifier le code]Clop est un gang de rançongiciels russophone[1]. Il est connu pour avoir compromis de grandes organisations à travers le monde en utilisant des techniques d'extorsion à plusieurs niveaux. Les estimations du cumul des rançons extorquées s’élèvent à 500 millions USD en novembre 2021[2]. Selon le Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, Clop « est à l'origine des tendances mondiales en matière de distribution de logiciels malveillants criminels »[3]. Clop évite d'attaquer les organisations basées dans les anciens pays soviétiques et ses logiciels malveillants ne peuvent pas pénétrer un système fonctionnant avec le russe pour langue principale[3].
En 2023, Clop utilise de plus en plus des approches d'extorsion pure avec des « rançongiciels sans chiffrement » qui sautent le processus de chiffrement mais menacent toujours de faire fuiter les données si la rançon n'est pas payée. Cette technique leur permet de générer des profits plus importants[4].
Clop a l'habitude d'attaquer pendant les vacances, lorsque le nombre de personnes présentes dans les entreprises est au plus bas. C'est le cas de l'attaque du logiciel Accellion FTA le 23 décembre 2020, et de l'attaque MOVEit pendant l'été 2023[5].
Les cybercriminels revendiquent l'effacement « immédiat » des données concernant « l'armée, les hôpitaux pour enfants, GOV, etc »[5].
Histoire
[modifier | modifier le code]Premières attaques
[modifier | modifier le code]L'organisation criminelle est repérée pour la première fois par des chercheurs en février 2019. Son malware provient d'une variante de la famille de rançongiciels « CryptoMix ». Clop est un rançongiciel en tant que service (RaaS)[2].
En décembre 2019, l'université de Maastricht est attaquée par Clop. Le rançongiciel chiffre l’ensemble des systèmes Windows utilisés par l'Université, empêchant les étudiants et les membres du personnel d'accéder aux services en ligne de l'université pendant les vacances de Noël[6]. L’université accepte de payer les 200 000 € demandés, avec un transfert en Bitcoin. Les cours reprennent à temps le 6 janvier, la plupart des services en ligne étant à nouveau disponibles pour les étudiants et les membres du personnel[7]. En 2020, le parquet saisit le compte de crypto-monnaie sur lequel la rançon avait été payée. Une fois la rançon convertie de Bitcoin en euros, l'université récupère 500 000 €, soit le double de ce qu'elle avait payé[8].
En avril 2020, Clop fait sa première tentative d'utilisation du système de double extorsion en rendant publiques les données d'une société pharmaceutique sur leur site de fuite. Depuis, la rançon n'est plus seulement nécessaire pour retrouver ses données, mais aussi pour éviter de les voir rendues publiques sur le web[2].
Accellion FTA attack (2020)
[modifier | modifier le code]Accellion, une société qui fournit un service de transfert de fichiers, connait une série de fuites de données à la mi-décembre 2020. Les acteurs de la menace profitent ainsi de vulnérabilités zero-day et d'un shell web connu sous le nom de DEWMODE pour pénétrer dans les systèmes d'une centaine d'entreprises utilisant le FTA d'Accellion. Les données volées comprennent des fichiers sensibles[9].
Les attaques sont attribuées au gang Clop et à FIN11, bien qu'aucun rançongiciel n'ait été déployé lors de ces incidents. Après avoir exfiltré les données, les attaquants menacent de rendre les informations volées publiques à moins qu'une rançon ne soit payée. Plusieurs organisations sont victimes de ces violations, notamment Kroger, Singtel, l'Institut de recherche médicale QIMR Berghofer, la Reserve Bank of New Zealand, l'ASIC et l'Office of the Washington State Auditor[9].
En juin 2021, une coalition mondiale visant à démanteler les cartels de rançongiciels impliquant des forces de l'ordre et des partenaires privés conduit à l'arrestation en Ukraine de six membres présumés de Clop. Les cybercriminels poursuivent leur activité après cette arrestation[2].
En novembre 2021, Clop exploite la vulnérabilité SolarWinds Serv-U (CVE-2021-35211) pour s'introduire dans les réseaux d'entreprise et y installer leur rançongiciel[2]. Le même mois, Clop pirate le système d'information d'un géant des services maritimes dont le siège est à Singapour pour voler des informations commerciales confidentielles et des données sur les employés[2].
GoAnywhere MFT attack (2023)
[modifier | modifier le code]En janvier 2023, le gang revendique l'intrusion dans plus de 130 organisations en exploitant une vulnérabilité zero-day dans l'outil de transfert de fichiers sécurisé GoAnywhere MFT. Cette faille de sécurité (CVE-2023-0669) permet aux attaquants d'exécuter du code à distance sur des instances de GoAnywhere MFT dont la console d'administration est exposée à Internet[10].
MOVEit exploitation (2023)
[modifier | modifier le code]En 2023, Clop utilise des attaques plus complexes, qui ont un impact significatif et leur permettent d'exiger des rançons plus élevées. C'est le cas de l'attaque zero day MOVEit Transfer. Leur objectif est, dans un contexte de baisse générale des paiements de rançons, de pouvoir exiger des montants substantiels de leurs victimes[11].
En 2023, le gang revendique le piratage des organisations suivantes : la BBC et British Airways[12], Estee Lauder[13], 1st Source, First National Bankers Bank, Putnam Investments, Landal Greenparks, Shell[14], the New York City Department of Education[15] et Ernst & Young[16].
En juillet 2023, les estimations de gain par Clop grâce à ses attaques utilisant la vulnérabilité MOVEit Transfer se situent entre 75 et 100 millions de dollars[11]. En France, les entreprises touchées par l'attaque sur MOVEit sont Synlab (diagnostics médicaux) et Cegedim (logiciels métier pour les professionnels de la santé)[17].
Méthodes
[modifier | modifier le code]Clop utilise de grandes campagnes d'hameçonnage. Les e-mails contiennent des pièces jointes HTML qui redirigent les destinataires vers un document avec macros utilisé pour installer un chargeur nommé « Get2 ». Ce chargeur facilite le téléchargement d'autres outils tels que SDBOT, FlawedAmmyy et Cobalt Strike. Une fois dans le système, le gang procède à la reconnaissance, au déplacement latéral et à l'exfiltration pour préparer le terrain pour le déploiement de son rançongiciel. Ensuite, Clop envoi des e-mails dans le but de négocier la rançon avec les victimes. Si leurs messages sont ignorés, ils menacent de publier les données sur leur site Web dédié aux fuites de données « Cl0p^_-Leaks »[2].
Plus récemment, il a été signalé que Clop utilisait le logiciel malveillant TrueBot pour accéder aux réseaux. Le chargeur déployé par le groupe de pirates « Silence » affecte plus de 1 500 systèmes dans le monde en 2023[18].
Clop cible des réseaux entiers au lieu d'ordinateurs individuels en piratant le serveur Active Directory (AD) avant l'infection par rançongiciel. Cela permet au maliciel de persister dans les endpoints même après le nettoyage de ceux-ci en cas d'incident. Le ransomware Clop ajoute l'extension « . ClOP » (« Clop » épelé avec un petit « L ») aux fichiers qu'il chiffre[2].
Références
[modifier | modifier le code]- (en) Lyngaas, « Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data | CNN Business », CNN, (consulté le )
- (en) « Ransomware Spotlight: Clop - Security News », www.trendmicro.com (consulté le )
- (en) « Ransomware Gang Haunted US Firms Long Before MOVEit Hack », Bloomberg.com, (lire en ligne, consulté le )
- (en) Ross Kelly published, « Encryption-less ransomware: Warning issued over emerging attack method for threat actors », sur ITPro, (consulté le )
- (en-US) « Clop ransomware claims responsibility for MOVEit extortion attacks », sur BleepingComputer (consulté le )
- « Cyber attack - a summary », Maastricht University (consulté le )
- Bannister, « Ransomware attack: Maastricht University pays out $220,000 to cybercrooks », The Daily Swig (consulté le )
- (en) « Dutch university wins big after Bitcoin ransom returned – DW – 07/02/2022 », dw.com (consulté le )
- (en-US) « Global Accellion data breaches linked to Clop ransomware gang », sur BleepingComputer (consulté le )
- (en-US) « Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day », sur BleepingComputer (consulté le )
- (en-US) « Clop gang to earn over $75 million from MOVEit extortion attacks », sur BleepingComputer (consulté le )
- (en) Sean Lyngaas, « Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data | CNN Business », sur CNN, (consulté le )
- (en-US) « Estée Lauder beauty giant breached by two ransomware gangs », sur BleepingComputer (consulté le )
- (en-US) Carly Page, « Ransomware gang lists first victims of MOVEit mass-hacks, including US banks and universities », sur TechCrunch, (consulté le )
- (en-US) « Clop ransomware gang obtained personal data of 45,000 New York City students in MOVEit hack », sur Engadget (consulté le )
- Théo Janvier, « EY à son tour piraté ? Des données mises en vente » , Journal du Net, (consulté le )
- Gabriel Thierry, « Palmarès 2023 : le triste bilan du hack de MOVEit, le piratage le plus marquant de l’année » , ZD Net, (consulté le )
- (en-US) « Clop ransomware uses TrueBot malware for access to networks », sur BleepingComputer (consulté le )