Actus

Le gang de rançongiciels Clop est de retour et fait 21 victimes en un mois

Par hfrance , le 30 mai 2022 - 4 minutes de lecture
Le gang de rançongiciels Clop est de retour et fait 21 victimes en un mois
Notez l'article

Après avoir effectivement arrêté l’ensemble de leurs opérations pendant plusieurs mois, entre novembre et février, le rançongiciel Clop est maintenant de retour, selon les chercheurs du NCC Group.

“CL0P a connu un retour explosif et inattendu au premier plan du paysage des menaces de ransomwares, passant de l’acteur de menace le moins actif en mars au quatrième plus actif en avril”, a déclaré NCC Group.

Cette augmentation de l’activité a été remarquée après que le groupe de rançongiciels a ajouté 21 nouvelles victimes à son site de fuite de données en un seul mois, en avril.

“Il y a eu des fluctuations notables dans le ciblage des acteurs menaçants en avril. Alors que Lockbit 2.0 (103 victimes) et Conti (45 victimes) restent les acteurs menaçants les plus prolifiques, les victimes de CL0P ont augmenté massivement, passant de 1 à 21”, a ajouté NCC Group.

Le secteur le plus ciblé par Clop était le secteur industriel, avec 45 % des attaques de rançongiciels Clop frappant des organisations industrielles et 27 % ciblant des entreprises technologiques.

Pour cette raison, le responsable mondial des renseignements sur les menaces stratégiques du groupe NCC, Matt Hull, a averti les organisations des secteurs les plus ciblés du groupe de ransomwares d’envisager la possibilité d’être la prochaine cible de ce gang et de se préparer en conséquence.

Cependant, malgré les fuites de données de près de deux douzaines de victimes, le groupe ransomware ne semble pas très actif en fonction du nombre de soumissions sur le service ID Ransomware.

Partie d’un processus d’arrêt?

Partie d'un processus d'arrêt?

Bien qu’il soit confirmé que certaines des victimes récentes sont de nouvelles attaques, une théorie est que le gang Clop pourrait enfin mettre fin à ses opérations après avoir été inactif pendant si longtemps.

Dans le cadre de ce processus, le gang des rançongiciels publierait probablement les données de toutes les victimes inédites.

Ceci est similaire à ce que le groupe Conti semble faire en ce moment dans le cadre de sa propre fermeture en cours.

Qu’il s’agisse d’anciennes ou de nouvelles victimes sera probablement confirmé s’ils publient des notifications de violation ou publient des confirmations (certains d’entre eux l’ont déjà fait).

Qui est Clop ?

Qui est Clop ?

L’accalmie des activités du gang de rançongiciels Clop s’explique facilement par la fermeture de certaines de ses infrastructures en juin 2021 à la suite d’une opération internationale de maintien de l’ordre baptisée Opération Cyclone coordonnée par INTERPOL.

Six individus soupçonnés de blanchir de l’argent et de fournir des services de retrait d’argent au gang de rançongiciels Clop ont été arrêtés par les autorités ukrainiennes après 21 perquisitions à domicile dans la région de Kyiv.

“L’impact global sur CLOP devrait être mineur”, a déclaré la société de cybersécurité Intel 471 à BleepingComputer.

Tout en ciblant des victimes dans le monde entier dans des attaques de ransomwares depuis au moins 2019 (certaines de ses victimes incluent l’Université de Maastricht, Software AG IT, ExecuPharm et Indiabulls), le gang Clop était également lié à une vague massive de violations de données Accellion entraînant une augmentation substantielle de paiements de rançon moyens pour les trois premiers mois de 2021.

Lors des attaques d’Accellion, les opérateurs de Clop n’ont exfiltré que de grandes quantités de données d’entreprises de premier plan à l’aide de l’ancien dispositif de transfert de fichiers (FTA) d’Accellion.

Le gang a ensuite utilisé ces données volées comme levier pour extorquer les entreprises compromises, les forçant à payer des demandes de rançon élevées pour que leurs données ne soient pas divulguées en ligne.

La liste des entreprises dont les serveurs Accellion FTA ont été piratés par Clop comprend, entre autres, le géant de l’énergie Shell, la société de cybersécurité Qualys, le géant des supermarchés Kroger et plusieurs universités dans le monde (l’Université du Colorado, l’Université de Miami, Stanford Medicine, l’Université du Maryland). Baltimore (UMB) et l’Université de Californie.)

hfrance

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.