Clop est une famille de ransomware exploité par le groupe TA505 et une autre filiale FIN11. En 2023, le groupe fait parler de lui suite à l’attaque du logiciel de transfert MoveIT, exposant les données de milliers d’utilisateurs. Les opérateurs de Clop sont réputés pour leurs méthodes agressives et leurs rançons élevées, pouvant atteindre des millions de dollars.
Les premiers signes d’activité du ransomware Clop remontent à 2019. Cette famille de ransomware est associée à un groupe russophone, TA505. Depuis sa création, le malware a connu plusieurs améliorations, permettant à ses opérateurs de s’adonner au quadruple extorsion. Leur technique d’extorsion leur a permis de recevoir près de 500 millions de dollars de rançons jusqu’en 2021. Malgré les opérations menées pour démanteler le groupe, Clop continue de sévir en 2023 à travers des attaques comme celle de MoveIt.
Qui sont les opérateurs qui se cachent derrière Clop ?
Variante de la famille de ransomware Cryptomix, Clop fait entendre parler de lui pour la première fois en 2019. Le malware est associé à un gang de hackers appelé TA505 qui est d’origine russophone d’après les experts. Le groupe a lancé une campagne de phishing à grande échelle à ses débuts.
Néanmoins, Clop fonctionne comme un ransomware en tant que service (RaaS). Les opérateurs utilisent un binaire signé et vérifié pour tromper les logiciels de détection de sécurité.
En 2020, les chercheurs identifient un autre groupe de hackers utilisant le même ransomware, Clop. Cet autre groupe a exploité des vulnérabilités zero-day pour atteindre ses cibles. Clop était ensuite exploité en tant que charge utile pour voler les données.
Les chercheurs n’ont pas établi des liens entre les deux groupes bien que certains estiment qu’il s’agisse d’un même groupe. D’autres, comme Kaspersky, stipulent que FIN11 soit une filiale de TA505.
Ils ont aussi établi des liens entre FIN11 et d’autres groupes de cybercriminels à savoir UNCA2546 et UNCA2582. Ces derniers ont été associés aux attaques visant les utilisateurs de Kiteworks.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment fonctionnent le mode opératoire du ransomware Clop
Le groupe de ransomware s’attaque à ses victimes en plusieurs étapes :
D’abord, ils s’introduisent dans le réseau de la cible à travers un logiciel malveillant. Pour cela, ils utilisent plusieurs méthodes comme :
- Ingénierie sociale,
- Infection sites web,
- Phishing à travers des pièces jointes ou liens infectés,
- Compromission des services distants, etc.
La première méthode utilisée par Clop était le spearphishing. Ils diffusaient un e-mail à plus d’employés possibles pour augmenter les risques d’infections.
Une fois à l’intérieur du serveur, les opérateurs effectuent une reconnaissance des appareils et inventorient les données sensibles pour les voler.
A ce stade, ils lancent ensuite le crypteur pour verrouiller tous les fichiers ciblés. Pour cela, ils modifient leur extension, les rendant impossible à ouvrir. En 2020, le groupe TA505 a utilisé le malware SDBot pour pirater les données.
Il se sert également d’un cheval de Troie d’accès à distance (RAT). Depuis le réseau, il télécharge ensuite Cobalt Strike, un autre outil de piratage.
Néanmoins, le groupe Clop a montré récemment que le cryptage n’était pas systématique. En 2023, il s’attaque au logiciel de transfert MoveIT en volant seulement les données.
Une fois les données cryptées, lorsque la victime tente d’ouvrir un fichier, elle reçoit directement une notification de demande de rançon. Le groupe menace de dévoiler publiquement les données en l’absence de paiement.
Une fois la rançon payée, la victime reçoit une clé de décryptage permettant de restaurer les fichiers.
Le quadruple extorsion : une méthode perfectionnée par Clop
Les groupes de ransomware deviennent de plus en plus agressifs dans leur méthode. Au départ, on assistait à une simple extorsion, un paiement en échange du décryptage des fichiers.
Les malwares devenant plus sophistiqués, les cybercriminels s’adonnent à la double extorsion. Au-delà de la demande de rançon, ils menacent également de divulguer publiquement les données. Maze et Darkside font partie des familles de ransomware pratiquant la double extorsion.
La triple extorsion apparaît dans les années 2020 avec les opérateurs de SunCrypt. En plus du cryptage et de la menace de divulgation, ils mènent des attaques DDoS pour submerger le réseau de la cible.
Enfin, le quadruple extorsion est une pratique développée par les opérateurs de Clop. Ils suivent le schéma classique des autres groupes de ransomware. Par contre, ils s’attaquent également aux clients des cibles, ce qui augmente les enjeux.
Les attaques menées par le groupe depuis sa création
Le groupe de ransomware Clop est actif depuis au moins 2019. Il possède un site de fuite qui héberge toutes les données de ses victimes. Cette liste s’est allongée au fur des années. En 2021, un groupe d’enquêteurs international a évalué le montant des extorsions à 500 millions de dollars en trois ans d’activité. Cela fait de Clop, la famille de ransomware la plus prolifique des dernières années.
Les premières attaques entre 2019 et 2020
Sa première activité a été identifiée en 2019. Les opérateurs de Clop revendiquent l’attaque de l’université de Maastricht, rendant l’accès des étudiants au site impossible. À l’époque, ils exigeaient une rançon de 200 000 dollars pour restaurer l’accès.
L’année suivante, il perfectionne sa technique avec la double extorsion visant une société pharmaceutique.
En 2021, les experts en cybersécurité identifient également une diffusion du ransomware sous forme de charge utile pour pénétrer SolarWinds.
La même année, une autre entreprise maritime basée à Singapour est la prochaine victime. Suite au piratage du système de la victime, les opérateurs ont volé des données commerciales confidentielles et des informations sur les employés. Ils ont notamment exfiltré les coordonnées bancaires, les e-mails et passeports des salariés.
Une opération de démantèlement en 2020
Face à l’ampleur des menaces, une coalition d’enquêteurs réussit à arrêter six membres opérateurs présumés de Clop en 2021 en Ukraine. L’opération a affaibli le groupe, mais ne l’a pas empêché d’être encore plus agressif.
En effet, les rapports des autorités révèlent que l’opération a seulement permis d’arrêter des affiliés et de démanteler le réseau de blanchiment de l’argent.
En 2022, c’est Microsoft Security qui identifie une vaste campagne de distribution de Clop par FIN11. Pour cela, le groupe se sert du ver Raspberry Robin.
Poursuite des activités en 2023
Les données de 2023 montrent une diminution du nombre de déploiements. Néanmoins, les experts expliquent ce ralentissement par l’intérêt du groupe pour le vol de données.
Clop exploite la vulnérabilité de la supply chain pour atteindre de plus grandes entreprises. En 2023, l’attaque d’une société de ressources humaines, Zellis, a permis au gang de ransomware d’accéder aux données des employés de grandes sociétés et agences gouvernementales comme CNN et la BBC.
La même année, il exploite les failles d’un logiciel de transfert, MoveIt, largement utilisé dans le domaine professionnel. Ce piratage a exposé des données de plusieurs agences gouvernementales américaines d’après la CISA. Parmi les victimes, on retrouve le géant pétrolier Shell.
