Le ransomware Clop serait à l'origine de la cyberattaque du CHU de Rouen : les détails de l'ANSSI

ransomware-rançongiciel.jpg
© Pixabay

Clop, le rançongiciel, a été identifié par les services français au début de l'année. Il est principalement distribué sous forme d'une campagne d'hameçonnage, comme ce fut visiblement le cas pour le centre hospitalier normand.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté, le 22 novembre, un court rapport consacré au ransomware Clop, un code malveillant qui chiffre les documents présents sur les systèmes d'information et y ajoute les extensions « .CIop » ou « .Clop ». L'Agence s'est aperçue que le chiffrement des postes de travail était précédé d'actions manuelles de l'attaquant, au sein du réseau victime. Une phase qui dure plusieurs jours et qui, surtout, pourrait théoriquement permettre la détection de l'attaque avant l'installation du rançongiciel.

L'ANSSI avait repéré Clop au mois de février

Clop fut observé pour la première fois en février 2019. L'ANSSI nous dit de lui qu'il est une variante des rançongiciels CryptoMix, et qu'il est généralement distribué via des campagnes d'hameçonnage plutôt massives. Ne pouvant se propager automatiquement, les hackers cherchent d'abord à se propager au sein du réseau de la victime, grâce à des codes malveillants. L'objectif des attaquants est alors d'acquérir les droits d'administration réseau, pour ensuite déployer du code de chiffrement à plus grande échelle.


De façon astucieuse, le ransomware est déployé en début ou veille de week-end, à un moment où les équipes de sécurité sont forcément moins réactives. Clop bénéficie par ailleurs d'une fonction de suppression des copies cachées Windows, la fameuse fonction Volume Shadow copies.

TA505, le groupe de cybercriminels qui se cache derrière Clop

Plusieurs indices rattachent Clop au groupe TA505. Par exemple, une souche du rançongiciel a été signée avec le même certificat qu'une souche de FlawedAmmyy, un cheval de Troie associé au groupe de hackers. Un lien similaire a également été identifié en Corée du Sud.

Le groupe TA505, actif depuis 2014, utilise des techniques de plus en plus sophistiquées et s'attaque aux secteurs de la finance, de la distribution ainsi qu'aux institutions gouvernementales. Depuis 2019, il a élargi son champ d'action aux secteurs de l'aviation, de l'énergie, de la recherche et... de la santé, comme peut en témoigner le CHU de Rouen.


Ce qui intéresse TA505, c'est l'argent. Le groupe, actif dans le monde entier (États-Unis, Grèce, Singapour, Émirats Arabes unis, Suède, Géorgie etc.) a même récemment chercher à monétiser de la propriété intellectuelle volée dans le cadre de ses activités cybercriminelles, soit via des trojans bancaires, soit grâce à des rançongiciels. « Afin d'éviter autant que possible le déclenchement de la charge de chiffrement, un durcissement du poste de travail doit être effectué (contrôle d'exécution de fichier, outils d'analyse comportementale) », préconise l'ANSSI comme principale recommandation.



Source : ANSSI
Modifié le 28/11/2019 à 14h37
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
25
13
Voir tous les messages sur le forum

Actualités du moment

Black Friday 2019 : Pack PS4 500Go + 2ème manette + 2 jeux à moins de 300€ chez Cdiscount
Black Friday 2019 : Pack Xbox One S All Digital + PC Portable HP 14
Bientôt la dernière ligne droite pour les parachutes d’ExoMars
Intel lance ses nouveaux SSD 665p en QLC seconde génération
1 Français sur 10 possède désormais une enceinte connectée chez soi, en faites-vous partie ?
Black Friday Amazon : Disque dur portable WD My Passport Ultra 2To à 88,62€
Panasonic stoppera sa production de dalle LCD en 2021
330 000 casques AR et VR ont été vendus en France en 2019
AMD : 16 fois plus de demande que de Ryzen 9 3950X... ce qui le rend quasi-inachetable
Black Friday Fnac : Disque SSD externe PNY Pro Elite 1 To à 109,99€ via ODR
Haut de page