Le ransomware Clop serait à l'origine de la cyberattaque du CHU de Rouen : les détails de l'ANSSI

28 novembre 2019 à 13h43
25
ransomware-rançongiciel.jpg
© Pixabay

Clop, le rançongiciel, a été identifié par les services français au début de l'année. Il est principalement distribué sous forme d'une campagne d'hameçonnage, comme ce fut visiblement le cas pour le centre hospitalier normand.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a présenté, le 22 novembre, un court rapport consacré au ransomware Clop, un code malveillant qui chiffre les documents présents sur les systèmes d'information et y ajoute les extensions « .CIop » ou « .Clop ». L'Agence s'est aperçue que le chiffrement des postes de travail était précédé d'actions manuelles de l'attaquant, au sein du réseau victime. Une phase qui dure plusieurs jours et qui, surtout, pourrait théoriquement permettre la détection de l'attaque avant l'installation du rançongiciel.

L'ANSSI avait repéré Clop au mois de février

Clop fut observé pour la première fois en février 2019. L'ANSSI nous dit de lui qu'il est une variante des rançongiciels CryptoMix, et qu'il est généralement distribué via des campagnes d'hameçonnage plutôt massives. Ne pouvant se propager automatiquement, les hackers cherchent d'abord à se propager au sein du réseau de la victime, grâce à des codes malveillants. L'objectif des attaquants est alors d'acquérir les droits d'administration réseau, pour ensuite déployer du code de chiffrement à plus grande échelle.


De façon astucieuse, le ransomware est déployé en début ou veille de week-end, à un moment où les équipes de sécurité sont forcément moins réactives. Clop bénéficie par ailleurs d'une fonction de suppression des copies cachées Windows, la fameuse fonction Volume Shadow copies.

TA505, le groupe de cybercriminels qui se cache derrière Clop

Plusieurs indices rattachent Clop au groupe TA505. Par exemple, une souche du rançongiciel a été signée avec le même certificat qu'une souche de FlawedAmmyy, un cheval de Troie associé au groupe de hackers. Un lien similaire a également été identifié en Corée du Sud.

Le groupe TA505, actif depuis 2014, utilise des techniques de plus en plus sophistiquées et s'attaque aux secteurs de la finance, de la distribution ainsi qu'aux institutions gouvernementales. Depuis 2019, il a élargi son champ d'action aux secteurs de l'aviation, de l'énergie, de la recherche et... de la santé, comme peut en témoigner le CHU de Rouen.


Ce qui intéresse TA505, c'est l'argent. Le groupe, actif dans le monde entier (États-Unis, Grèce, Singapour, Émirats Arabes unis, Suède, Géorgie etc.) a même récemment chercher à monétiser de la propriété intellectuelle volée dans le cadre de ses activités cybercriminelles, soit via des trojans bancaires, soit grâce à des rançongiciels. « Afin d'éviter autant que possible le déclenchement de la charge de chiffrement, un durcissement du poste de travail doit être effectué (contrôle d'exécution de fichier, outils d'analyse comportementale) », préconise l'ANSSI comme principale recommandation.



Source : ANSSI
Modifié le 28/11/2019 à 14h37
25
13
Partager l'article :
Voir tous les messages sur le forum

Actualités récentes

Google Docs permet désormais d'ouvrir vos documents Microsoft Office sur iOS
Bon plan avant le Black Friday : la manette Xbox Series est en promo à la Fnac
Gigabyte lance des RTX 3090 et 3080 en externe avec refroidissement liquide
Test Demon's Souls : la meilleure raison de s'offrir une PlayStation 5
Casque gaming : moins de 60€ l'HyperX Cloud II sur Amazon
Black Friday : votre hébergement web à prix cassé et un domaine offert chez Hostinger
Microsoft veut permettre d'exécuter des applications Android sur Windows
Black Friday Week : vraie chute de prix sur le SSD WD Blue 1 To chez Amazon
FIFA 21 sera moins riche sur PC que sur consoles, EA s'explique
Le PC portable gamer Lenovo Ideapad 17
Haut de page