© Pixabay
Clop, le rançongiciel, a été identifié par les services français au début de l'année. Il est principalement distribué sous forme d'une campagne d'hameçonnage, comme ce fut visiblement le cas pour le centre hospitalier normand.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté, le 22 novembre, un court rapport consacré au ransomware Clop, un code malveillant qui chiffre les documents présents sur les systèmes d'information et y ajoute les extensions « .CIop » ou « .Clop ». L'Agence s'est aperçue que le chiffrement des postes de travail était précédé d'actions manuelles de l'attaquant, au sein du réseau victime. Une phase qui dure plusieurs jours et qui, surtout, pourrait théoriquement permettre la détection de l'attaque avant l'installation du rançongiciel.
L'ANSSI avait repéré Clop au mois de février
Clop fut observé pour la première fois en février 2019. L'ANSSI nous dit de lui qu'il est une variante des rançongiciels CryptoMix, et qu'il est généralement distribué via des campagnes d'hameçonnage plutôt massives. Ne pouvant se propager automatiquement, les hackers cherchent d'abord à se propager au sein du réseau de la victime, grâce à des codes malveillants. L'objectif des attaquants est alors d'acquérir les droits d'administration réseau, pour ensuite déployer du code de chiffrement à plus grande échelle.De façon astucieuse, le ransomware est déployé en début ou veille de week-end, à un moment où les équipes de sécurité sont forcément moins réactives. Clop bénéficie par ailleurs d'une fonction de suppression des copies cachées Windows, la fameuse fonction Volume Shadow copies.
TA505, le groupe de cybercriminels qui se cache derrière Clop
Plusieurs indices rattachent Clop au groupe TA505. Par exemple, une souche du rançongiciel a été signée avec le même certificat qu'une souche de FlawedAmmyy, un cheval de Troie associé au groupe de hackers. Un lien similaire a également été identifié en Corée du Sud.Le groupe TA505, actif depuis 2014, utilise des techniques de plus en plus sophistiquées et s'attaque aux secteurs de la finance, de la distribution ainsi qu'aux institutions gouvernementales. Depuis 2019, il a élargi son champ d'action aux secteurs de l'aviation, de l'énergie, de la recherche et... de la santé, comme peut en témoigner le CHU de Rouen.
Lire aussi :
Guillaume Poupard (ANSSI) : « Nous avons un rôle d'autorité nationale et devons l'assumer » (Interview)
Guillaume Poupard (ANSSI) : « Nous avons un rôle d'autorité nationale et devons l'assumer » (Interview)
Ce qui intéresse TA505, c'est l'argent. Le groupe, actif dans le monde entier (États-Unis, Grèce, Singapour, Émirats Arabes unis, Suède, Géorgie etc.) a même récemment chercher à monétiser de la propriété intellectuelle volée dans le cadre de ses activités cybercriminelles, soit via des trojans bancaires, soit grâce à des rançongiciels. « Afin d'éviter autant que possible le déclenchement de la charge de chiffrement, un durcissement du poste de travail doit être effectué (contrôle d'exécution de fichier, outils d'analyse comportementale) », préconise l'ANSSI comme principale recommandation.
Source : ANSSI
