Selon l’Anssi, le ransomware CLOP est utilisé dans plusieurs campagnes de cybercriminels actives en France. L’agence a publié un guide résumant les éléments connus sur les auteurs de ces campagnes et sur le ransomware qu’ils utilisent.
Les ransomwares se suivent et se ressemblent un peu : l’Anssi a ainsi publié un rapport sur les menaces portant sur le ransomware CLOP, utilisé selon l’agence dans « plusieurs attaques en France. » Dans l’actualité récente, on a ainsi pu voir que le CHU de Rouen avait été visé par une cyberattaque présentant plusieurs caractéristiques d’une attaque utilisant cette souche de ransomware.
« Ces attaques semblent être le résultat d’une vaste campagne d’hameçonnage ayant eu lieu autour du 16 octobre 2019 et lier au groupe cybercriminel TA505 », explique l’agence en introduction de son rapport. La campagne d’hameçonnage initiale n’est « pas ciblée » selon l’agence, mais les attaquants ont recours à cette méthode pour prendre pied dans le système. Cette première opération de phishing permet aux attaquants de prendre le contrôle de plusieurs machines du réseau, mais ils préfèrent rester discrets dans un premier temps : le but pour eux est de prendre leurs marques sur le réseau de la cible avant de diffuser le ransomware. « Le rançongiciel étant dépourvu de fonctionnalités de propagation automatique, les attaquants s’attachent en premier lieu à se propager au sein du réseau de la victime à l’aide de plusieurs codes malveillants. »
Durant la première phase, les attaquants utilisent la porte dérobée « flawed Ammyy », un logiciel de prise de contrôle à distance, ainsi que l’outil Cobalt Strike, un logiciel utilisé par des entreprises de tests d’intrusion. Ils exploitent ces outils afin « d’acquérir des droits d’administration réseau afin de faciliter le déploiement du code de chiffrement sur l’ensemble du système d’information. »
Pour en savoir plus:
https://www.zdnet.fr/actualites/ransomware-l-anssi-alerte-sur-clop-39894521.htm