Une opération de police vise le groupe de cybercriminels Clop en Ukraine

Six personnes soupçonnées de participation au groupe cybercriminel Clop ont été identifiées, ont annoncé les autorités ukrainiennes dans un communiqué de presse jeudi 16 juin, sans préciser le nombre d’interpellations effectuées dans le cadre de cette affaire. Clop, également connu sous le nom de Cl0p, est le nom d’un ransomware, un logiciel malveillant déployé par les cybercriminels sur les réseaux informatiques des entreprises et des institutions, et paralysant les ordinateurs infectés en cryptant les fichiers sur les machines. Ce logiciel affiche alors une demande de rançon à ses victimes, qui se voient proposer d’obtenir un logiciel de décryptage pour des sommes allant jusqu’à plusieurs dizaines de millions de dollars.

Voir aussi notre dossier : Attaques de ransomware : la déferlante

Comme d’autres groupes criminels de ransomware, Clop exfiltre les données volées et les diffuse progressivement sur le dark web afin de faire pression sur les entreprises et organisations ciblées. La police ukrainienne a déclaré aujourd’hui avoir réussi à fermer l’infrastructure utilisée par les pirates pour “A propagé le virus”. Le site du Clop, habitué à publier les données de ses victimes, était toujours en ligne mercredi en début d’après-midi.

Sur le site du Clop, les noms des victimes ont été anonymisés.

A l’origine de la cyberattaque contre le CHU de Rouen

Apparu selon l’Agence nationale de la sécurité des systèmes d’information (Anssi) en février 2019, Clop est une variante d’un précédent ransomware nommé Cryptomix ou CryptXXX, repéré en 2016. Les méthodes de Clop ont considérablement évolué au fil du temps. Initialement, le groupe ne pratiquait pas la double extorsion, une méthode de vol et de publication des données des victimes. Mais Clop s’est finalement converti à cette pratique agressive, comme de nombreux autres opérateurs de ransomware. Autre signe d’évolution : ces derniers mois, les exploitants du Clop n’ont pas hésité à contacter directement les salariés des entreprises victimisées afin de les inciter à faire pression sur leurs dirigeants pour qu’ils versent la rançon.

Plusieurs experts soupçonnent Clop d’être piloté par un groupe cybercriminel bien connu, nommé TA505, et qui est apparu, selon les autorités françaises, en 2014. Selon l’Anssi, des liens techniques ont notamment été découverts entre le ransomware Clop et au moins deux outils utilisés par TA505, nommés Amadey et FlawedAmmyy.

La cyberpolice ukrainienne estime les dégâts causés par le groupe à plus de 412 millions d’euros

C’est le groupe TA505 qui, fin 2019 et à l’aide du ransomware Clop, a attaqué le CHU de Rouen, paralysant son système informatique pendant plusieurs heures, dans ce qui était alors la première attaque majeure contre un grand hôpital français. La cyberpolice ukrainienne estime les dommages causés par le groupe à plus de 500 millions de dollars (412 millions d’euros). Cependant, il ne semble pas que ce soit l’enquête ouverte en France qui ait conduit à ces identifications en Ukraine, le département cybercriminalité de la police nationale ukrainienne faisant référence à une opération internationale conjointe avec les États-Unis et la Corée du Sud.

Recherches effectuées en Ukraine

La cyberpolice ukrainienne ne précise pas si les individus qu’elle a identifiés, au nombre de six, constituent l’ensemble de Clop. Les enquêteurs ont effectué vingt et une perquisitions au domicile de suspects, dans leurs véhicules et affirment avoir démantelé les circuits de blanchiment de la crypto-monnaie soustraite à leurs victimes. L’équivalent d’un peu plus de 150 000 euros a également été saisi, ainsi que du matériel informatique.

Les six individus identifiés sont accusés par les autorités ukrainiennes d’avoir compromis quatre entreprises sud-coréennes en 2019, mais les victimes de ce groupe se comptent par dizaines, dont le poids lourd de la cybersécurité Qualys, le géant pétrolier Shell et l’université. de Californie.

Article réservé à nos abonnés Lire aussi Guillaume Poupard : « La cybercriminalité a un impact sur la sécurité nationale »

Ces derniers mois, les autorités de plusieurs pays ont réalisé des avancées majeures dans la lutte contre ce type de cybercriminels, jusqu’alors connus pour leur capacité à se soustraire aux enquêtes judiciaires.

En février, plusieurs membres du gang Egregor, également parmi les plus importants sur la scène de la cybercriminalité, ont été arrêtés en Ukraine. Peu de temps auparavant, un Canadien soupçonné d’avoir propagé le ransomware NetWalker avait été arrêté au Québec. Quelques semaines plus tôt, les autorités de plusieurs pays avaient réussi à démanteler le botnet Emotet, qui est fréquemment utilisé dans les attaques de ransomware.

déclaration officielle