Clop

Informations
Première version	2019
Type	Groupe de cybercriminels (d)

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Clop (parfois écrit « Cl0p ») est un gang de rançongiciels russophone apparu en 2019 connu pour ses cyberattaques^[1]^,^[2].

Description

Clop est connu pour avoir compromis de grandes organisations à travers le monde en utilisant des techniques d'extorsion à plusieurs niveaux. Les estimations du cumul des rançons extorquées s’élèvent à 500 millions USD en novembre 2021^[1]. Selon le Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, Clop « est à l'origine des tendances mondiales en matière de distribution de logiciels malveillants criminels »^[3]. Clop évite d'attaquer les organisation basées dans les anciens pays soviétiques et ses logiciels malveillants ne peuvent pas pénétrer un système fonctionnant avec le russe pour langue principale^[3].

Histoire

L'organisation criminelle est repérée pour la première fois par des chercheurs en février 2019. Son malware provient d'une variante de la famille de rançongiciels « CryptoMix ». Clop est un rançongiciel en tant que service (RaaS)^[1].

En décembre 2019, l'université de Maastricht est attaquée par Clop. Le rançongiciel chiffre l’ensemble des systèmes Windows utilisés par l'Université, empêchant les étudiants et les membres du personnel d'accéder aux services en ligne de l'université pendant les vacances de Noël^[4]. L’université accepte de payer les 200 000 € demandés, avec un transfert en Bitcoin. Les cours reprennent à temps le 6 janvier, la plupart des services en ligne étant à nouveau disponibles pour les étudiants et les membres du personnel^[5]. En 2020, le parquet saisit le compte de crypto-monnaie sur lequel la rançon avait été payée. Une fois la rançon convertie de Bitcoin en euros, l'université récupère 500 000 €, soit le double de ce qu'elle avait payé^[6].

En avril 2020, Clop fait sa première tentative d'utilisation du système de double extorsion en rendant publiques les données d'une société pharmaceutique sur leur site de fuite. Depuis, la rançon n'est plus seulement nécessaire pour retrouver ses données, mais aussi pour éviter de les voir rendues publiques sur le web^[1].

En novembre 2021, Clop exploite la vulnérabilité SolarWinds Serv-U (CVE-2021-35211) pour s'introduire dans les réseaux d'entreprise et y installer leur rançongiciel^[1]. Le même mois, Clop pirate le système d'information d'un géant des services maritimes dont le siège est à Singapour pour voler des informations commerciales confidentielles et des données sur les employés^[1].

En juin 2021, une coalition mondiale visant à démanteler les cartels de rançongiciels impliquant des forces de l'ordre et des partenaires privés conduit à l'arrestation en Ukraine de six membres présumés de Clop. Les cybercriminels poursuivent leur activité après cette arrestation^[1].

En 2023, le gang revendique le piratage des données des employés de la BBC et de British Airways. Ce hack faisait partie d'un plus grand exploit d'une vulnérabilité dans le programme MOVEit^[2].

Méthodes

Clop utilise de grandes campagnes de phishing. Les e-mails contiennent des pièces jointes HTML qui redirigent les destinataires vers un document avec macros utilisé pour installer un chargeur nommé Get2. Ce chargeur facilite le téléchargement d'autres outils tels que SDBOT, FlawedAmmyy et Cobalt Strike. Une fois dans le système, le gang procède à la reconnaissance, au déplacement latéral et à l'exfiltration pour préparer le terrain pour le déploiement de son rançongiciel. Ensuite, Clop envoi des e-mails dans le but de négocier la rançon avec les victimes. Si leurs messages sont ignorés, ils menacent de publier les données sur leur site Web de fuite de données « Cl0p^_-Leaks »^[1].

Clop cible des réseaux entiers au lieu d'ordinateurs individuels en piratant le serveur Active Directory (AD) avant l'infection par rançongiciel. Cela permet au ransomware de persister dans les endpoints même après le nettoyage de ceux-ci en cas d'incident. Le ransomware Clop ajoute l'extension « . ClOP » (« Clop » épelé avec un petit « L ») aux fichiers qu'il chiffre^[1].

Références

↑ ^{a b c d e f g h et i} (en) « Ransomware Spotlight: Clop - Security News », www.trendmicro.com (consulté le 5 juillet 2023)
↑ ^{a et b} (en) Lyngaas, « Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data | CNN Business », CNN, 7 juin 2023 (consulté le 5 juillet 2023)
↑ ^{a et b} (en) « Ransomware Gang Haunted US Firms Long Before MOVEit Hack », Bloomberg.com,‎ 17 juin 2023 (lire en ligne, consulté le 6 juillet 2023)
↑ « Cyber attack - a summary », Maastricht University (consulté le 11 mai 2020)
↑ Bannister, « Ransomware attack: Maastricht University pays out $220,000 to cybercrooks », The Daily Swig (consulté le 11 mai 2020)
↑ (en) « Dutch university wins big after Bitcoin ransom returned – DW – 07/02/2022 », dw.com (consulté le 21 avril 2023)

Annexes

Articles connexes

[:0-1] {a b c d e f g h et i} (en) « Ransomware Spotlight: Clop - Security News », www.trendmicro.com (consulté le 5 juillet 2023)

[:1-2] {a et b} (en) Lyngaas, « Russian-speaking cyber gang claims credit for hack of BBC and British Airways employee data | CNN Business », CNN, 7 juin 2023 (consulté le 5 juillet 2023)

[:2-3] {a et b} (en) « Ransomware Gang Haunted US Firms Long Before MOVEit Hack », Bloomberg.com,‎ 17 juin 2023 (lire en ligne, consulté le 6 juillet 2023)

[4] « Cyber attack - a summary », Maastricht University (consulté le 11 mai 2020)

[5] Bannister, « Ransomware attack: Maastricht University pays out $220,000 to cybercrooks », The Daily Swig (consulté le 11 mai 2020)

[6] (en) « Dutch university wins big after Bitcoin ransom returned – DW – 07/02/2022 », dw.com (consulté le 21 avril 2023)

[1]

[2]

[3]

[4]

[5]

[6]