Ransomware cl0p : De quoi s'agit-il et comment fonctionne-t-il ?

Ces dernières années, le ransomware cl0p s'est transformé en une menace majeure pour la cybersécurité, causant des dommages importants à un grand nombre d'entreprises et d'industries à travers le monde. Si les attaques par virus cl0p fonctionnent généralement de la même manière que les autres attaques par ransomware, il existe des différences particulières.

Mais qu'est-ce que le ransomware cl0p, et comment ses attaques fonctionnent-elles? Et, peut-être plus important encore, que peuvent faire les entreprises pour minimiser les risques d'être victimes de ces attaques pouvant avoir d'importantes conséquences financières?

Brève histoire du ransomware cl0p

Cl0p, souvent écrit en minuscules avec le chiffre zéro, est un type de ransomware ou de programme malveillant d'extorsion. Bien qu'il ne soit pas tout à fait identique à CryptoMix, le ransomware cl0p aurait été conçu selon le modèle de ce programme malveillant qui l'a précédé. Aujourd'hui, cependant, le cheval de Troie a connu plusieurs itérations, et de nouvelles versions remplacent rapidement les versions précédentes.

Cl0p a été découvert par des chercheurs en sécurité en février 2019, à la suite d'une grave attaque de phishing ciblé. Il s'agissait alors (et c'est encore le cas aujourd'hui) d'une menace majeure pour la cybersécurité de tous les types d'entreprises et d'organisations, en raison de la manière dont il corrompt les fichiers sur les appareils des victimes et dont il extorque des paiements financiers. À vrai dire, on estime que grâce à son programme malveillant spécial, le groupe à l'origine du ransomware cl0p a pu extorquer de l'argent à des conglomérats énergétiques mondiaux, à plusieurs grandes universités, à la BBC, à British Airways et à diverses agences gouvernementales.

En 2020, le groupe à l'origine du ransomware cl0p a mené une attaque visant à exploiter les vulnérabilités du réseau de contenu privé Kiteworks (anciennement Accellion) afin de cibler les clients de la plateforme et d'infiltrer leurs réseaux, même si le programme malveillant cl0p à proprement parler n'a pas été déployé au cours de cette attaque. Dans le même temps, les créateurs du cheval de Troie cl0p ont lancé un double plan d'extorsion, en divulguant des données volées à une entreprise pharmaceutique dans le cadre d'une attaque massive et destructrice.

En 2021, des attaques ont été lancées contre SolarWinds, un éditeur de logiciels offrant des services de gestion informatique à diverses entreprises, et contre Swire Pacific Offshore, un fournisseur de services maritimes basé à Singapour.

En 2023, l'activité du groupe à l'origine du ransomware cl0p a augmenté par rapport aux années précédentes. De janvier à juin 2023, le cheval de Troie a ainsi été utilisé pour attaquer des victimes dans divers secteurs, les services aux entreprises arrivant en tête, suivis des logiciels et de la finance. Un grand nombre de victimes se trouvaient alors en Amérique du Nord et en Europe, les États-Unis ayant subi de loin le plus grand nombre d'attaques.

L'ampleur de ces attaques a été considérable, plus de 2000 entreprises ayant signalé des incidents, ce qui a eu un impact sur plus de 62 millions de personnes dont les données ont été divulguées, principalement aux États-Unis.

La série d'attaques par ransomware du groupe Cl0p, à travers la vulnérabilité (CVE-2023-34362) du logiciel de transfert de fichiers MOVEit, a finalement atteint son apogée lorsque les pirates informatiques ont affirmé avoir pénétré dans des centaines d'entreprises et ont lancé à ces dernières un ultimatum au 14 juin. Ces attaques de type zero-day ont permis le téléchargement massif de données d'entreprises, y compris de diverses informations confidentielles. Les autorités policières américaines ont ainsi décidé d'offrir une récompense de 10 millions de dollars en échange de toute information concernant le groupe cl0p.

Qu’est-ce que Cl0p ?

Alors qu'est-ce que Cl0p ? L'analyse du ransomware Cl0p montre qu'il s'agit d'une variante du ransomware CryptoMix. Comme le programme malveillant sur lequel il est basé, le virus cl0p infecte l'appareil ciblé. Cependant, dans ce cas précis, le ransomware renomme tous les fichiers en leur donnant l'extension .cl0p, puis les chiffre, les rendant ainsi inutilisables.

Pour mener à bien ses attaques, le ransomware cl0p se conforme au format Win32 PE (Portable Executable) des fichiers exécutables. Surtout, les chercheurs ont découvert des exécutables du virus cl0p avec des signatures vérifiées, qui lui donnent une apparence légitime et qui permettent au programme malveillant d'éviter d'être détecté par les logiciels de sécurité. Le ransomware cl0p chiffre ensuite les fichiers avec le chiffrement de flux RS4, puis utilise le RSA-1024 pour chiffrer les clés RC4. Tous les fichiers d'un appareil sont menacés par ce type d'infection par ransomware, y compris les images, les vidéos, les musiques et les documents.

Une fois les fichiers chiffrés, le pirate informatique demande une rançon à la victime par l'intermédiaire du virus cl0p. Si la rançon n'est pas payée, le pirate informatique menace alors de faire fuiter les données des fichiers. C'est ce que l'on appelle la «double extorsion», en raison de la double tactique consistant à extraire les fichiers de la victime et à menacer de divulguer les données publiquement. Les victimes sont généralement invitées à payer la rançon en Bitcoin ou avec une autre cryptomonnaie.

Qui se cache derrière le ransomware cl0p ?

Mais qui est à l'origine du ransomware cl0p ? Le ransomware cl0p aurait été développé par un groupe de cybercriminels russophones de ransomwares en tant que service, principalement motivés par les gains financiers. Le groupe est généralement appelé TA505, bien que ce nom soit souvent utilisé de manière interchangeable avec le nom FIN11. Cependant, nous ne savons pas vraiment s'il s'agit du même groupe, ou si FIN11 est un sous-groupe de TA505.

Quel que soit son nom, le gang à l'origine du ransomware cl0p exploite son produit en suivant un modèle de ransomware en tant que service. Ainsi, le virus cl0p est disponible à la vente sur le Dark Web et peut techniquement être utilisé par n'importe quel cybercriminel prêt à payer pour ce dernier.

Ransomware Cl0p : en quoi cette attaque consiste-t-elle ?

Le groupe à l'origine du ransomware cl0p mène à bien ses attaques en suivant un processus en plusieurs étapes. Les voici :

1. Les pirates informatiques utilisent le programme malveillant pour accéder à l'appareil ciblé à l'aide de diverses méthodes.
2. Ils effectuent ensuite une reconnaissance manuelle de l'appareil et volent les données qu'ils veulent.
3. À ce stade, ils lancent le chiffreur pour verrouiller les fichiers sur l'appareil ciblé en modifiant leur extension, ce qui les rend inutilisables. Dernièrement, comme dans le cas des attaques de 2023 contre le logiciel de transfert de fichiers MOVEit, des données ont été volées sans que les fichiers ne soient chiffrés.
4. Lorsque la victime tente d'ouvrir l'un des fichiers chiffrés, elle reçoit une lettre de rançon contenant des instructions sur la manière d'effectuer le paiement.
5. Le pirate informatique a recours à une « double extorsion », en menaçant de divulguer les données volées sur l'appareil de la victime si la rançon n'est pas payée.
6. Si la rançon est payée, la victime reçoit une clé de déchiffrement qui restaure les fichiers sur son appareil.

Les pirates informatiques utilisent diverses méthodes pour diffuser le ransomware cl0p sur les appareils ciblés. Il peut s'agir de ce qui suit :

• Phishing (utilisation de techniques d'ingénierie sociale)
• Exploitation des vulnérabilités logicielles
• Pièces jointes et liens infectés dans les emails
• Sites Internet infectés
• Compromission des services externes à distance

Quelle que soit la méthode choisie pour transmettre le cheval de Troie cl0p à l'appareil ciblé, l'attaque qui en résulte fonctionne essentiellement de la même manière. L'objectif est toujours de recevoir le paiement d'une rançon de la part de la victime. Cependant, dans de nombreux cas, le pirate informatique accepte le paiement et ne donne plus de nouvelles. Dans ce cas, la victime ne reçoit pas la clé de déchiffrement et ne peut pas récupérer l'accès à ses fichiers.

Éviter le ransomware cl0p

Il est essentiel que tous les utilisateurs d'appareils respectent les règles de base de la sécurité informatique afin d'éviter une infection par le ransomware cl0p. En général, il est question des mêmes principes que ceux qui s'appliquent à la prévention de tous les types de cyberattaques, à savoir :

• Inclure les menaces liées aux programmes malveillants dans la formation de sensibilisation à la sécurité de l'entreprise, afin de garantir que les employés restent au courant des dernières menaces et mesures préventives ; Kaspersky Automated Security Awareness Platform peut constituer un outil utile.
• Protéger les données de l'entreprise, notamment en définissant des contrôles d'accès.
• Ne pas accéder aux services de bureau à distance au moyen de réseaux publics, et si cela s'avère nécessaire, utiliser des mots de passe forts pour ces services.
• Toujours sauvegarder vos données et les stocker dans un endroit distinct, par exemple dans un espace de stockage dans le cloud ou sur des disques externes dans les bureaux de l'entreprise.
• Maintenir à jour tous les logiciels et toutes les applications, y compris les logiciels liés au système d'exploitation et au serveur, afin de garantir l'installation des derniers correctifs de sécurité ; il est particulièrement important d'installer immédiatement les correctifs pour les solutions VPN commerciales qui permettent aux employés d'accéder à distance aux réseaux de l'entreprise, et des mises à jour et des installations automatisées et programmées en dehors des heures de bureau peuvent s'avérer utiles dans ce cas.
• Rester au courant des derniers rapports de Threat Intelligence.
• Utiliser des solutions logicielles comme Kaspersky Endpoint Detection ou Kaspersky Managed Detection and Response Service pour la détection précoce des menaces afin d'identifier et de bloquer les attaques à un stade peu avancé.
• Utiliser des solutions de sécurité fiables pour les terminaux ; Kaspersky Endpoint Security for Business intègre une protection contre les exploits, une détection comportementale à l'aide de l'IA et d'une Threat Intelligence experte, une réduction des surfaces d'attaque et une réparation des actions malicieuses capable d'annuler les actions malveillantes.

Faire face au virus cl0p

Une fois qu'un appareil est infecté par le virus cl0p, il n'y a malheureusement que très peu de choses à faire pour récupérer l'accès à ses fichiers. Comme pour tout type d'attaque par ransomware, il est généralement conseillé de ne pas payer la rançon demandée. En effet, les pirates informatiques ne donnent souvent pas la clé de déchiffrement après avoir reçu le paiement de la rançon. Et même s'ils le font, la réussite d'une attaque leur donne confiance et les encourage à poursuivre leurs attaques sur d'autres victimes qui ne se méfient pas.

Au lieu de payer la rançon, il vaut généralement mieux contacter les autorités pour signaler l'attaque et demander l'ouverture d'une enquête. Il est également possible d'utiliser l'un des nombreux logiciels disponibles pour analyser l'appareil et supprimer le ransomware cl0p. Toutefois, cela ne permet pas de restaurer les fichiers qui ont été chiffrés lors de l'attaque. Il est donc important de créer des sauvegardes régulières et de les stocker dans un endroit distinct, comme un disque externe ou un espace de stockage sur le cloud, afin qu'elles soient toujours disponibles en cas d'attaque.

La prudence est toujours de mise lorsqu'il est question de la sécurité de votre ordinateur. Il est important de faire attention lorsque vous naviguez sur Internet et lorsque vous téléchargez, installez et mettez à jour des logiciels.

La menace du ransomware Cl0p

Le ransomware Cl0p, comme d'autres types de virus et de programmes malveillants, constitue une menace persistante pour la cybersécurité, dans une société désormais largement numérisée. Le virus cl0p constitue une menace très particulière parmi une multitude de programmes malveillants d'extorsion, mais il est particulièrement préoccupant pour les entreprises et les organisations. Bien qu'il puisse avoir de graves conséquences pour ses victimes, il existe des moyens préventifs et des garde-fous qui peuvent être mis en œuvre pour tenter de minimiser le risque d'attaques par le virus cl0p, ou d'en atténuer les effets en cas d'attaque.

Articles connexes :

• Choisir une solution antivirus
• Comment les virus informatiques fonctionnent-ils ?
• Attaques et types de ransomwares : En quoi les chevaux de Troie de chiffrement diffèrent-ils ?

Produits et services connexes :

• Kaspersky Password Manager
• Kaspersky Endpoint Security Cloud
• Kaspersky Premium