Six membres présumés du ransomware « Cl0p » arrêtés

juin 19, 2021juin 19, 2021 Fidel Plume

La police ukrainienne a arrêté six personnes, membres présumés du célèbre gang de ransomware « Cl0p », saisissant de l’argent, des voitures ainsi qu’un certain nombre d’ordinateurs portables. Les entreprises Bombardier, Shell, Qualys ou l’université de Stanford font partie des 57 multinationales infectées. Le CHU de Rouen avait été attaqué le 15 novembre 2019, elle serait liée à l’entité TA 505.

D’après l’ANSSI, le groupe TA505 est « un groupe cybercriminel actif depuis 2014, ciblant principalement la finance et des représentations gouvernementales, mais aussi, et c’est nouveau depuis 2019, des structures dans les secteurs de la recherche, de l’énergie et de la santé ». Les premiers bugs remontent au week-end du 16 novembre 2019. Le CHU de Rouen se réveille alors avec des ordinateurs en panne, infectés par des codes malveillants très virulents qui paralysent tout le système de l’hôpital, écrivait France 3 Normandie.

Plusieurs experts soupçonnent Cl0p d’être piloté par un groupe cybercriminel bien connu « TA505 ». De plus, des liens techniques ont été découverts entre le rançongiciel Cl0p et au moins deux outils utilisés par TA505, nommés Amadey et FlawedAmmyy, selon l’ANSSI. (Crédits : Police ukrainienne)

Les opérateurs de Cl0p continuaient d’engranger les victimes, en mars 2021 en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion. Après l’expert français des géosciences CGG, Steris, CSX ou également Bombardier, ils venaient d’ajouter à leur tableau de chasse Qualys. Et là encore, sur l’infrastructure de l’éditeur, on trouve les traces d’une FTA Accellion. Et pourtant, celle-ci n’était pas configurée pour gérer directement l’authentification : les outils d’Okta étaient là pour cela. La FTA en question répondait encore au moteur de recherche spécialisé Shodan le 18 février 2021. Par suite aux infections et la mise en ligne ds données ainsi exfiltrées, des plans d’un radar de détection précoce aéroporté installé sur le jet militaire phare de la société bombardier, de type AWACS ont pu être copié.

En décembre dernier, Cl0p s’en était pris à un détaillant sud-coréen, E-Land, et aurait dérobé deux millions de données de cartes de crédit sur une année. Les policiers de Corée du Sud ont apparemment identifié les suspects peu après. La cyberpolice ukrainienne estime les dégâts causés par le groupe à plus de 412 millions d’euros. (Crédits : Police ukrainienne)

Comme d’autres groupes criminels opérant des rançongiciels, Cl0p exfiltre des renseignements volés et les publient progressivement sur le dark Web afin d’exercer une pression sur les entreprises et organisations ciblées. Les forces de l’ordre ukrainiennes affirment aujourd’hui être parvenues à fermer l’infrastructure utilisée par les délinquants pour « propager le virus ». « Il a été établi que six accusés ont mené des attaques de logiciels malveillants de type ransomware sur les serveurs de multinationales américaines et sud-coréennes », a déclaré la police nationale ukrainienne dans un communiqué promulgué ce mercredi 16 juin 2021.