La police ukrainienne a arrêté six personnes, membres présumés du célèbre gang du ransomware « Cl0p », saisissant de l’argent, des voitures ainsi qu’un certain nombre d’ordinateurs portables. Les entreprises Bombardier, Shell, Qualys ou l’université de Stanford font partie des 57 multinationales infectées. Le CHU de Rouen avait été attaqué le 15 novembre 2019, elle serait liée à l’entité TA 505. C’est un coup de filet qui met fin, momentanément, aux agissements d’un groupe de cybercriminels.

« L’organisateur du groupe Kievien, âgé de 36 ans, avec son épouse et ses trois connaissances, a mené des cyberattaques contre des entreprises étrangères », indique la police ukrainienne. Selon les données préliminaires de l’enquête, c’est au minimum une cinquantaine de sociétés, universités, hôpitaux… qui ont souffert des agressions. Les vidéos des perquisitions et d’arrestations, filmés par les forces de l’ordre Ukrainienne n’ont pas besoin de sous-titre.

Attaques cybernétiques, blanchiment d’argent…

D’après l’ANSSI, le collectif TA505 est « un groupe cybercriminel actif depuis 2014, ciblant principalement la finance et des représentations gouvernementales, mais aussi, et c’est nouveau depuis 2019, des structures dans les secteurs de la recherche, de l’énergie et de la santé ». Les premiers bugs remontent au week-end du 16 novembre 2019. Le CHU de Rouen se réveille alors avec des ordinateurs en panne, infectés par des codes malveillants très virulents qui paralysent tout le système de l’hôpital, écrivait France 3 Normandie.

Plusieurs experts soupçonnent que Cl0p est piloté par un groupe cybercriminel bien connu, « TA505 ». De plus, des liens techniques ont été découverts entre le rançongiciel Cl0p et au moins deux outils utilisés par TA505, nommés Amadey et FlawedAmmyy, selon l’ANSSI.

Les opérateurs de Cl0p continuaient d’engranger les victimes, en mars 2021, en s’attaquant à leurs appliances de transfert de fichiers (FTA) Accellion. Après l’expert français des géosciences CGG, Steris, CSX ou également Bombardier, ils venaient d’ajouter à leur tableau de chasse Qualys. Et là encore, sur l’infrastructure de l’éditeur, on trouve les traces d’une FTA Accellion. (Crédits : Police ukrainienne)

Et pourtant, celle-ci n’était pas configurée pour gérer directement l’authentification : les outils d’Okta étaient là pour cela. La FTA en question répondait encore au moteur de recherche spécialisé Shodan le 18 février 2021. Après les infections et la mise en ligne des données ainsi exfiltrées, des plans d’un radar de détection précoce aéroporté installé sur le jet militaire phare de la société Bombardier, de type AWACS, ont pu être copiés.

En décembre dernier, Cl0p s’en était pris à un détaillant sud-coréen, E-Land, et aurait dérobé deux millions de données de cartes de crédit sur une année. Les policiers de Corée du Sud ont apparemment identifié les suspects peu après. La cyberpolice ukrainienne estime les dégâts causés par le groupe à plus de 412 millions d’euros. Comme d’autres groupes criminels, Cl0p exfiltre des renseignements volés et les publie sur le dark web. Ils exercent une pression sur les entreprises et organisations ciblées. Les forces de l’ordre ukrainiennes affirment aujourd’hui être parvenues à fermer l’infrastructure utilisée par les délinquants pour « propager le virus ».

« Il a été établi que six accusés ont mené des attaques de logiciels malveillants de type ransomware sur les serveurs de multinationales américaines et sud-coréennes », a déclaré la police nationale ukrainienne mercredi 16 juin 2021. (Crédits : Police ukrainienne)