« Clop » : différence entre les versions

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Clop

Informations

Première version	2019
Type	Groupe de cybercriminels (d)

modifier - modifier le code - voir Wikidata (aide)

Clop (parfois écrit « Cl0p ») est une organisation cybercriminelle connue pour ses techniques d'extorsion à plusieurs niveaux et sa distribution mondiale de logiciels malveillants. Clop a extorqué près de 500 millions de dollars en paiements de rançon, ciblant de grandes organisations à travers le monde. Clop s'est fait connaître en 2019 et a depuis mené des attaques de haut niveau, utilisant des campagnes de phishing à grande échelle et des logiciels malveillants sophistiqués pour infiltrer les réseaux et exiger une rançon, menaçant de divulguer des données en cas de non-paiement des demandes.

Clop utilise de plus en plus des approches d'extorsion pure avec des « rançongiciels sans chiffrement ». Le groupe utilise également des attaques plus complexes, telles que les attaques de type zero-day, qui ont un impact significatif et lui permettent d'exiger des rançons plus élevées.

Clop est un gang de rançongiciels russophone^[1]. Il est connu pour avoir compromis de grandes organisations à travers le monde en utilisant des techniques d'extorsion à plusieurs niveaux. Les estimations du cumul des rançons extorquées s’élèvent à 500 millions USD en novembre 2021^[2]. Selon le Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, Clop « est à l'origine des tendances mondiales en matière de distribution de logiciels malveillants criminels »^[3]. Clop évite d'attaquer les organisation basées dans les anciens pays soviétiques et ses logiciels malveillants ne peuvent pas pénétrer un système fonctionnant avec le russe pour langue principale^[3].

En 2023, Clop utilise de plus en plus des approches d'extorsion pure avec des « rançongiciels sans chiffrement » qui sautent le processus de chiffrement mais menacent toujours de faire fuiter les données si la rançon n'est pas payée. Cette technique leur permet d'obtenir de générer des profits plus importants^[4].

Clop a l'habitude de mener d'attaquer pendant les vacances, lorsque le nombre le personnel présents dans les entreprises est au plus bas. C'est le cas de l'attaque du logiciel Accellion FTA le 23 décembre 2020, et de l'attaque MOVEit pendant l'été 2023^[5].

Les cybercriminels revendiquent l'effacement "immédiatement" des données concernant "l'armée, les hôpitaux pour enfants, GOV etc"^[5].

L'organisation criminelle est repérée pour la première fois par des chercheurs en février 2019. Son malware provient d'une variante de la famille de rançongiciels « CryptoMix ». Clop est un rançongiciel en tant que service (RaaS)^[2].

En décembre 2019, l'université de Maastricht est attaquée par Clop. Le rançongiciel chiffre l’ensemble des systèmes Windows utilisés par l'Université, empêchant les étudiants et les membres du personnel d'accéder aux services en ligne de l'université pendant les vacances de Noël^[6]. L’université accepte de payer les 200 000 € demandés, avec un transfert en Bitcoin. Les cours reprennent à temps le 6 janvier, la plupart des services en ligne étant à nouveau disponibles pour les étudiants et les membres du personnel^[7]. En 2020, le parquet saisit le compte de crypto-monnaie sur lequel la rançon avait été payée. Une fois la rançon convertie de Bitcoin en euros, l'université récupère 500 000 €, soit le double de ce qu'elle avait payé^[8].

En avril 2020, Clop fait sa première tentative d'utilisation du système de double extorsion en rendant publiques les données d'une société pharmaceutique sur leur site de fuite. Depuis, la rançon n'est plus seulement nécessaire pour retrouver ses données, mais aussi pour éviter de les voir rendues publiques sur le web^[2].

En novembre 2021, Clop exploite la vulnérabilité SolarWinds Serv-U (CVE-2021-35211) pour s'introduire dans les réseaux d'entreprise et y installer leur rançongiciel^[2]. Le même mois, Clop pirate le système d'information d'un géant des services maritimes dont le siège est à Singapour pour voler des informations commerciales confidentielles et des données sur les employés^[2].

En juin 2021, une coalition mondiale visant à démanteler les cartels de rançongiciels impliquant des forces de l'ordre et des partenaires privés conduit à l'arrestation en Ukraine de six membres présumés de Clop. Les cybercriminels poursuivent leur activité après cette arrestation^[2].

En 2023, le gang revendique le piratage des données des employés de la BBC et de British Airways. Ce hack fait partie d’une suite d'attaques plus étendue autour de la vulnérabilité MOVEit^[1]. La meme année, le gang pirate et met en vente les données volées de Ernst & Young^[9].

Clop utilise de grandes campagnes de phishing. Les e-mails contiennent des pièces jointes HTML qui redirigent les destinataires vers un document avec macros utilisé pour installer un chargeur nommé Get2. Ce chargeur facilite le téléchargement d'autres outils tels que SDBOT, FlawedAmmyy et Cobalt Strike. Une fois dans le système, le gang procède à la reconnaissance, au déplacement latéral et à l'exfiltration pour préparer le terrain pour le déploiement de son rançongiciel. Ensuite, Clop envoi des e-mails dans le but de négocier la rançon avec les victimes. Si leurs messages sont ignorés, ils menacent de publier les données sur leur site Web de fuite de données « Cl0p^_-Leaks »^[2].

Clop cible des réseaux entiers au lieu d'ordinateurs individuels en piratant le serveur Active Directory (AD) avant l'infection par rançongiciel. Cela permet au ransomware de persister dans les endpoints même après le nettoyage de ceux-ci en cas d'incident. Le ransomware Clop ajoute l'extension « . ClOP » (« Clop » épelé avec un petit « L ») aux fichiers qu'il chiffre^[2].

• LockBit
• REvil
• Hive (groupe pirate)
• Conti (rançongiciel)
• AgainstTheWest

• Portail de la sécurité informatique
• Portail de la criminologie