Le ransomware Clop serait à l'origine de la cyberattaque du CHU de Rouen : les détails de l'ANSSI

28 novembre 2019 à 13h43
0
ransomware-rançongiciel.jpg
© Pixabay

Clop, le rançongiciel, a été identifié par les services français au début de l'année. Il est principalement distribué sous forme d'une campagne d'hameçonnage, comme ce fut visiblement le cas pour le centre hospitalier normand.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté, le 22 novembre, un court rapport consacré au ransomware Clop, un code malveillant qui chiffre les documents présents sur les systèmes d'information et y ajoute les extensions « .CIop » ou « .Clop ». L'Agence s'est aperçue que le chiffrement des postes de travail était précédé d'actions manuelles de l'attaquant, au sein du réseau victime. Une phase qui dure plusieurs jours et qui, surtout, pourrait théoriquement permettre la détection de l'attaque avant l'installation du rançongiciel.

L'ANSSI avait repéré Clop au mois de février

Clop fut observé pour la première fois en février 2019. L'ANSSI nous dit de lui qu'il est une variante des rançongiciels CryptoMix, et qu'il est généralement distribué via des campagnes d'hameçonnage plutôt massives. Ne pouvant se propager automatiquement, les hackers cherchent d'abord à se propager au sein du réseau de la victime, grâce à des codes malveillants. L'objectif des attaquants est alors d'acquérir les droits d'administration réseau, pour ensuite déployer du code de chiffrement à plus grande échelle.


De façon astucieuse, le ransomware est déployé en début ou veille de week-end, à un moment où les équipes de sécurité sont forcément moins réactives. Clop bénéficie par ailleurs d'une fonction de suppression des copies cachées Windows, la fameuse fonction Volume Shadow copies.

TA505, le groupe de cybercriminels qui se cache derrière Clop

Plusieurs indices rattachent Clop au groupe TA505. Par exemple, une souche du rançongiciel a été signée avec le même certificat qu'une souche de FlawedAmmyy, un cheval de Troie associé au groupe de hackers. Un lien similaire a également été identifié en Corée du Sud.

Le groupe TA505, actif depuis 2014, utilise des techniques de plus en plus sophistiquées et s'attaque aux secteurs de la finance, de la distribution ainsi qu'aux institutions gouvernementales. Depuis 2019, il a élargi son champ d'action aux secteurs de l'aviation, de l'énergie, de la recherche et... de la santé, comme peut en témoigner le CHU de Rouen.


Ce qui intéresse TA505, c'est l'argent. Le groupe, actif dans le monde entier (États-Unis, Grèce, Singapour, Émirats Arabes unis, Suède, Géorgie etc.) a même récemment chercher à monétiser de la propriété intellectuelle volée dans le cadre de ses activités cybercriminelles, soit via des trojans bancaires, soit grâce à des rançongiciels. « Afin d'éviter autant que possible le déclenchement de la charge de chiffrement, un durcissement du poste de travail doit être effectué (contrôle d'exécution de fichier, outils d'analyse comportementale) », préconise l'ANSSI comme principale recommandation.



Source : ANSSI
Modifié le 28/11/2019 à 14h37
25
13
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

La centrale nucléaire de Fessenheim va cesser définitivement ses activités cette nuit
Convention citoyenne pour le climat : Macron promet 15 milliards d'euros et des réponses
Vraiment efficace le toit solaire de Tesla ? Une famille fait le bilan après trois mois d'utilisation
Amazon : des hackers auraient réussi à contourner la double authentification
Les émissions de CO2 dues à l'automobile ont encore augmenté en 2019, la faute aux SUV
LDLC : l'e-commerçant high tech Lyonnais annonce officiellement la semaine de 32 heures dès 2021
L’iPhone 12, livré sans chargeur ni écouteurs ?
Reddit bannit un forum pro-Trump, accusé de promouvoir la haine, Twitch suspend sa chaîne
Selon Epic Games, la PS5 est
Pour Steve Sinofsky, ex boss de Windows, le Mac sous ARM sera
scroll top