🔴 LE BLACK FRIDAY EN DIRECT !

Le ransomware Clop serait à l'origine de la cyberattaque du CHU de Rouen : les détails de l'ANSSI

28 novembre 2019 à 14h37
25
ransomware-rançongiciel.jpg
© Pixabay

Clop, le rançongiciel, a été identifié par les services français au début de l'année. Il est principalement distribué sous forme d'une campagne d'hameçonnage, comme ce fut visiblement le cas pour le centre hospitalier normand.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté, le 22 novembre, un court rapport consacré au ransomware Clop, un code malveillant qui chiffre les documents présents sur les systèmes d'information et y ajoute les extensions « .CIop » ou « .Clop ». L'Agence s'est aperçue que le chiffrement des postes de travail était précédé d'actions manuelles de l'attaquant, au sein du réseau victime. Une phase qui dure plusieurs jours et qui, surtout, pourrait théoriquement permettre la détection de l'attaque avant l'installation du rançongiciel.

L'ANSSI avait repéré Clop au mois de février

Clop fut observé pour la première fois en février 2019. L'ANSSI nous dit de lui qu'il est une variante des rançongiciels CryptoMix, et qu'il est généralement distribué via des campagnes d'hameçonnage plutôt massives. Ne pouvant se propager automatiquement, les hackers cherchent d'abord à se propager au sein du réseau de la victime, grâce à des codes malveillants. L'objectif des attaquants est alors d'acquérir les droits d'administration réseau, pour ensuite déployer du code de chiffrement à plus grande échelle.


De façon astucieuse, le ransomware est déployé en début ou veille de week-end, à un moment où les équipes de sécurité sont forcément moins réactives. Clop bénéficie par ailleurs d'une fonction de suppression des copies cachées Windows, la fameuse fonction Volume Shadow copies.

TA505, le groupe de cybercriminels qui se cache derrière Clop

Plusieurs indices rattachent Clop au groupe TA505. Par exemple, une souche du rançongiciel a été signée avec le même certificat qu'une souche de FlawedAmmyy, un cheval de Troie associé au groupe de hackers. Un lien similaire a également été identifié en Corée du Sud.

Le groupe TA505, actif depuis 2014, utilise des techniques de plus en plus sophistiquées et s'attaque aux secteurs de la finance, de la distribution ainsi qu'aux institutions gouvernementales. Depuis 2019, il a élargi son champ d'action aux secteurs de l'aviation, de l'énergie, de la recherche et... de la santé, comme peut en témoigner le CHU de Rouen.


Ce qui intéresse TA505, c'est l'argent. Le groupe, actif dans le monde entier (États-Unis, Grèce, Singapour, Émirats Arabes unis, Suède, Géorgie etc.) a même récemment chercher à monétiser de la propriété intellectuelle volée dans le cadre de ses activités cybercriminelles, soit via des trojans bancaires, soit grâce à des rançongiciels. « Afin d'éviter autant que possible le déclenchement de la charge de chiffrement, un durcissement du poste de travail doit être effectué (contrôle d'exécution de fichier, outils d'analyse comportementale) », préconise l'ANSSI comme principale recommandation.



Source : ANSSI
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
25
13
Azarcal
Le tabac c’est tabou !!!..ont en viendras tous à bout !!!.. arrf dsl
notolik
« Il est principalement distribué sous forme d’une campagne d’hameçonnage »<br /> Il y a encore des gens qui se font avoir par du fishing?<br /> Et des utilisateurs avec « pouvoirs » en plus !!<br /> Bravo.
AlexLex14
Beaucoup trop malheureusement <br /> Et ça reste le principal levier pour les hackers…
thurim
Beaucoup de gens ne connaissent rien en informatique, il ne faut pas l’oublier. C’est presque normal qu’ils se fassent avoir, si le piège est bien monté.<br /> De manière plus générale, ce qui nous semble évident ne l’est pas forcément pour d’autres.
nirgal76
Et oui, tant que les gens continueront à faire n’importe quoi sur des machines configurées n’importe comment, on verras ce genre de chose. J’espère qu’il vont retrouver l’imbécile qui c’est fait avoir et qu’il va dégager (avec les admins).
notolik
AlexLex14:<br /> Et ça reste le principal levier pour les hackers…<br /> thurim:<br /> Beaucoup de gens ne connaissent rien en informatique<br /> Un ransomware a besoin de faire de gros dégâts. Si seule la machine du « maillon faible » (lol) est vérolée il n’y a pas suffisamment de nuisance…<br /> Donc pour le CHU, non seulement quelqu’un a fait « rentrer » bêtement le ranconware. Mais en plus, ce dernier est parvenu à obtenir de haut privilèges (par rebond? Man in the Middle?) : j’ose espérer que ceux qui disposaient de ces droits n’étaient pas des « gens qui ne connaissent rien en informatique ».<br /> Que la mamie du Cantal se fasse avoir ok, mais la on parle d’un réseau d’entreprise…
AlexLex14
Non mais t’as clairement raison.<br /> Le niveau de sécurité des SI français est vraiment catastrophique. Et si on peut le comprendre s’agissant des TPE-PME, c’est vrai que là, on parle d’un CHU de taille, qui hébergent des données souvent critiques. Tout se joue sur un clic, et hélas, tant qu’il n’y aura pas de véritable formation interne aux entreprises et services à grande échelle, les hackers continueront de bien se marrer. Et quand je parle de formation, je parle d’une véritable formation, pas d’une session pédagogique d’un ou deux après-midi…
Popoulo
Tout à fait d’accord.
Popoulo
Il n’y a pas à avoir de formations ou je ne sais quoi. L’informatique est un outil et comme tout outil qui fait parti de ton travail, tu dois savoir l’utiliser.
AlexLex14
Certes, c’est évident.<br /> Mais quand une boîte souffre d’un défaut de RH couplé à la « pénurie » de talents dans le domaine, ça entraîne des couacs <br /> Et la prise de conscience est pour beaucoup bien tardive.
Popoulo
Oui c’est sur.<br /> Dans ces cas là, le SI conscient d’autant de lacunes auraient dû prendre les devants. Même avec de petits moyens, il est possible de sécure un minimum.
carinae
oui tout a fait. Parfois c’est tellement bien fait que pratiquement n’importe qui s’y laisserait tromper. Ca me fait penser au scam 419 …
notolik
Espérer former les gens pour ne plus qu’ils cliquent n’importe ou est à mon sens inefficace (résultats incertains pour un cout très élevé).<br /> Sécuriser le SI est à mon avis moins couteux et plus sûr. Ca n’empêchera pas toutes les « attaques » (ou les aneries) de passer bien sûr. Mais les dégâts seront tellement amoindris!!!
carinae
humm en général les gars ne sont pas des truffes. Il peut, effectivement y avoir des problèmes de sécurité mais quoi qu’il en soit la sécurité a 100% d’un SI n’existe pas même avec toutes les formations du monde. On peut réduire le risque, certainement améliorer la protection des SI mais les SI justement sont devenus tellement complexes et demandent tellement de ressources qu’il y a toujours un risque de passer a coter de quelque chose. A moins de faire du pentest a longueur de journée et un audit tous les mois …<br /> Bref la secu, c’est a mon sens, un compromis entre utilisation (parce que faire de la secu pour faire de la secu ça n’apporte pas grand chose si ce n’est pousser les gens a trouver des contournements), éducation, et sécurité technique du système d’information
AlexLex14
Je suis d’accord
Nmut
Si justement, c’est une question d’éducation.<br /> Une persone qui a juste une machine pour entrer quelques valeurs dans un soft et lire ses mails ne sait absolument pas qu’elle est le maillon faible du SI!<br /> Et ce ne sont pas les 2h de « formation » sur l’outils qu’elle utilise qui va la sensibiliser.
Nmut
Il faut aussi voir que l’IT dans un hopital, c’est un pauvre techos qui rame a réparer 500 vieux PCs en ruine sur un réseau qui ne tient pas la charge…<br /> Le sécurité, pas sûr que cela soit sa priorité, lui aussi n’est pas formé. Dans l’avenir probablement plus, mais pas sur que les moyens suivront.<br /> Après, la sécurité du SI poussée à l’extrême, c’est juste bloquer tout. Pas pratique et source de grosses conneries des utilisateurs. Et je ne dis pas ça parce que j’écris ce post depuis le réseau Guest de la boite ou je suis via un VPN sur ma machine perso, seul moyen d’accéder aux ressources dont j’ai besoin (et n’importe quel site internet! :-P). Et l’appli que je développe est régulièrement bloquée pour son comportement « currieux » (100% CPU + 100% GPU + 50 à 100% SSD pendant 1 à 15 jours), ça plait pas trop au différents outils de bloquage (applocker, mcafee, …) =&gt; tonnes d’emmerdes et lenteurs monstreuses. Du coup on utilise aussi nos PCs persos même si ils sont interdits ici. Pas sur que la sécurité y gagne…
max_971
On retourne au papier et crayon et ça règle tout. <br /> Il y a toujours le risque du vol du papier mais à distance, impossible.
bmustang
Ta lettre de licenciement est partie mon ami. ICI ! on ne tire pas sans éléments ou preuves sur des utilisateurs innocents.
Saulofein
Faux.<br /> La NASA se sont fait avoir car un employé a ramené son raspberry perso et l’a branché sur le réseau.<br /> T’as beau avoir le réseau le plus sécurisé, la bête noire reste l’utilisateur.<br /> 90% des attaques sur les entreprises passent a un moment pas une faiblesse d’un employé.
notolik
Faux : même contre ce genre de chose tu as des solutions.<br /> Quand on parle réseau, ce n’est pas au sens littéral. Cela comprends aussi l’accès aux ressources, la gestion des droits, l’analyse du traffic, …<br /> C’est quasi impossible de se prémunir de tout (ou beaucoup trop couteux), mais tu peux juguler les effets de ce genre d’aneries.<br /> Dans le cas évoqué, une alerte sur la présence d’une nouvelle machine devait être triggered. Réduisant de fait son temps d’activité et donc ses possibilités de nuire…
Saulofein
notolik:<br /> Dans le cas évoqué, une alerte sur la présence d’une nouvelle machine devait être triggered<br /> J’ai peur que ce soit très compliqué a mettre en place, si tu prend en compte les visiteurs (genre tous les médecins qui sont la ponctuellement, ou pour des formations, les prestataires qui sont la pour la journée, les labos qui font la promo de leurs medoc,…)<br /> A la fin tu finit par mettre en place du NAC sur ton réseau et monter un second réseau invité, mais tu auras des soucis concernant les accès aux ressources, donc un gestion de flux et de privilèges hyper compliquée.<br /> Qui plus est, tu peux même pas faire de pentests pour chercher des failles, car toutes les sociétés ont peur d’endommager des appareils médicaux…<br /> Y’a pas vraiment de solutions pour les hôpitaux…
mrassol
ouais mettons des switch layer 4 partout \o/
notolik
Saulofein:<br /> J’ai peur que ce soit très compliqué a mettre en place<br /> Plus ou moins compliqué effectivement, fonction du niveau que l’on cherche à atteindre.<br /> Ou mettre la barre donc?<br /> niveau 0 comme chez ma grand-mère?<br /> niveau 1 comme à Rouen?<br /> niveau 99 comme au pentagone?<br /> OK un hosto fonctionne 24/7 avec du matériel sensible, ce qui complique encore les choses, mais ce n’est pas le seul établissement ou organisme dans ce cas (nucléaire, défense, aviation, …)…
blizz
Mais quel laxisme et incompétence… ils pouvaient pas au moins y mettre des antivirus et des logiciels tiers de sécurité réseau comme sophos…
jardinero
Au prix du teraoctet sur disque dur ,des sauvegardes sont à la portée même des chu fauchés.<br /> Mais vu les risques courus par les hackers ,les attaques ne sont pas finies.
Voir tous les messages sur le forum

Actualités du moment

Black Friday 2019 : Pack PS4 500Go + 2ème manette + 2 jeux à moins de 300€ chez Cdiscount
Black Friday 2019 : Pack Xbox One S All Digital + PC Portable HP 14
Bientôt la dernière ligne droite pour les parachutes d’ExoMars
Intel lance ses nouveaux SSD 665p en QLC seconde génération
1 Français sur 10 possède désormais une enceinte connectée chez soi, en faites-vous partie ?
Black Friday Amazon : Disque dur portable WD My Passport Ultra 2To à 88,62€
Panasonic stoppera sa production de dalle LCD en 2021
330 000 casques AR et VR ont été vendus en France en 2019
AMD : 16 fois plus de demande que de Ryzen 9 3950X... ce qui le rend quasi-inachetable
Black Friday Fnac : Disque SSD externe PNY Pro Elite 1 To à 109,99€ via ODR
Haut de page