Le ransomware Clop serait à l'origine de la cyberattaque du CHU de Rouen : les détails de l'ANSSI

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 28 novembre 2019 à 14h37
ransomware-rançongiciel.jpg
© Pixabay

Clop, le rançongiciel, a été identifié par les services français au début de l'année. Il est principalement distribué sous forme d'une campagne d'hameçonnage, comme ce fut visiblement le cas pour le centre hospitalier normand.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté, le 22 novembre, un court rapport consacré au ransomware Clop, un code malveillant qui chiffre les documents présents sur les systèmes d'information et y ajoute les extensions « .CIop » ou « .Clop ». L'Agence s'est aperçue que le chiffrement des postes de travail était précédé d'actions manuelles de l'attaquant, au sein du réseau victime. Une phase qui dure plusieurs jours et qui, surtout, pourrait théoriquement permettre la détection de l'attaque avant l'installation du rançongiciel.

L'ANSSI avait repéré Clop au mois de février

Clop fut observé pour la première fois en février 2019. L'ANSSI nous dit de lui qu'il est une variante des rançongiciels CryptoMix, et qu'il est généralement distribué via des campagnes d'hameçonnage plutôt massives. Ne pouvant se propager automatiquement, les hackers cherchent d'abord à se propager au sein du réseau de la victime, grâce à des codes malveillants. L'objectif des attaquants est alors d'acquérir les droits d'administration réseau, pour ensuite déployer du code de chiffrement à plus grande échelle.


De façon astucieuse, le ransomware est déployé en début ou veille de week-end, à un moment où les équipes de sécurité sont forcément moins réactives. Clop bénéficie par ailleurs d'une fonction de suppression des copies cachées Windows, la fameuse fonction Volume Shadow copies.

TA505, le groupe de cybercriminels qui se cache derrière Clop

Plusieurs indices rattachent Clop au groupe TA505. Par exemple, une souche du rançongiciel a été signée avec le même certificat qu'une souche de FlawedAmmyy, un cheval de Troie associé au groupe de hackers. Un lien similaire a également été identifié en Corée du Sud.

Le groupe TA505, actif depuis 2014, utilise des techniques de plus en plus sophistiquées et s'attaque aux secteurs de la finance, de la distribution ainsi qu'aux institutions gouvernementales. Depuis 2019, il a élargi son champ d'action aux secteurs de l'aviation, de l'énergie, de la recherche et... de la santé, comme peut en témoigner le CHU de Rouen.


Ce qui intéresse TA505, c'est l'argent. Le groupe, actif dans le monde entier (États-Unis, Grèce, Singapour, Émirats Arabes unis, Suède, Géorgie etc.) a même récemment chercher à monétiser de la propriété intellectuelle volée dans le cadre de ses activités cybercriminelles, soit via des trojans bancaires, soit grâce à des rançongiciels. « Afin d'éviter autant que possible le déclenchement de la charge de chiffrement, un durcissement du poste de travail doit être effectué (contrôle d'exécution de fichier, outils d'analyse comportementale) », préconise l'ANSSI comme principale recommandation.



Source : ANSSI
Alexandre Boero
Journaliste-reporter, responsable de l'actu
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Azarcal

Le tabac c’est tabou !!!..ont en viendras tous à bout !!!.. arrf dsl :stuck_out_tongue:

notolik

« Il est principalement distribué sous forme d’une campagne d’hameçonnage »

Il y a encore des gens qui se font avoir par du fishing?
Et des utilisateurs avec « pouvoirs » en plus !!

Bravo.

AlexLex14

Beaucoup trop malheureusement :frowning:

Et ça reste le principal levier pour les hackers…

thurim

Beaucoup de gens ne connaissent rien en informatique, il ne faut pas l’oublier. C’est presque normal qu’ils se fassent avoir, si le piège est bien monté.
De manière plus générale, ce qui nous semble évident ne l’est pas forcément pour d’autres.

nirgal76

Et oui, tant que les gens continueront à faire n’importe quoi sur des machines configurées n’importe comment, on verras ce genre de chose. J’espère qu’il vont retrouver l’imbécile qui c’est fait avoir et qu’il va dégager (avec les admins).

notolik

Un ransomware a besoin de faire de gros dégâts. Si seule la machine du « maillon faible » (lol) est vérolée il n’y a pas suffisamment de nuisance…

Donc pour le CHU, non seulement quelqu’un a fait « rentrer » bêtement le ranconware. Mais en plus, ce dernier est parvenu à obtenir de haut privilèges (par rebond? Man in the Middle?) : j’ose espérer que ceux qui disposaient de ces droits n’étaient pas des « gens qui ne connaissent rien en informatique ».

Que la mamie du Cantal se fasse avoir ok, mais la on parle d’un réseau d’entreprise…

AlexLex14

Non mais t’as clairement raison.

Le niveau de sécurité des SI français est vraiment catastrophique. Et si on peut le comprendre s’agissant des TPE-PME, c’est vrai que là, on parle d’un CHU de taille, qui hébergent des données souvent critiques. Tout se joue sur un clic, et hélas, tant qu’il n’y aura pas de véritable formation interne aux entreprises et services à grande échelle, les hackers continueront de bien se marrer. Et quand je parle de formation, je parle d’une véritable formation, pas d’une session pédagogique d’un ou deux après-midi…

Popoulo

Tout à fait d’accord.

Popoulo

Il n’y a pas à avoir de formations ou je ne sais quoi. L’informatique est un outil et comme tout outil qui fait parti de ton travail, tu dois savoir l’utiliser.

AlexLex14

Certes, c’est évident.

Mais quand une boîte souffre d’un défaut de RH couplé à la « pénurie » de talents dans le domaine, ça entraîne des couacs :confused:

Et la prise de conscience est pour beaucoup bien tardive.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles