Qu'est-ce que le Clop Ransomware ?

Le ransomware Clop fait partie de la tristement célèbre famille Cryptomix qui cible les systèmes présentant des failles de sécurité. Le ransomware Clop peut crypter des fichiers et y ajouter l'extension .Clop. Son nom provient du mot russe "Klop", qui signifie punaise de lit, un insecte de la famille des Cimex qui se nourrit de sang humain pendant la nuit.

Ce ransomware a été observé pour la première fois par Michael Gillespie en 2019. Il a récemment été impliqué dans l'exploitation de failles de sécurité dans les logiciels MOVEit Transfer et MOVEit Cloud pour extorquer 500 millions de dollars à diverses entreprises.

Qu'est-ce que le Clop Ransomware ?

Le ransomware Clop est un type de logiciel malveillant qui crypte les fichiers sur le système d'une victime, les rendant inaccessibles jusqu'à ce qu'une rançon soit versée aux pirates. Il est populaire pour sa double stratégie d'extorsion, ce qui signifie qu'en plus de crypter les fichiers, les acteurs de la menace exfiltrent des informations sensibles et confidentielles de l'appareil ou du réseau de la cible. Si la rançon n'est pas payée, ils menacent de publier les données volées, ce qui peut entraîner de graves violations de données et nuire à la réputation des entreprises et des particuliers.

Le ransomware Clop est souvent distribué par le biais de courriels d'hameçonnage, de pièces jointes malveillantes ou par l'exploitation de vulnérabilités du jour zéro dans les logiciels. Une fois qu'il a infecté un système, il recherche des fichiers importants et les chiffre, exigeant le paiement d'une rançon, généralement en crypto-monnaie, en échange d'une clé de déchiffrement.

Les indicateurs communs du ransomware Clop sont les extensions de chiffrement, les hachages de fichiers et les adresses IP. Les mauvais acteurs renomment les fichiers ciblés avec l'une des extensions .clop ou .CIop (i majuscule au lieu de L minuscule). De même, les notes de rançon sont enregistrées sous le nom de ClopReadMe.txt ou CIopReadMe.txt (i majuscule au lieu de L minuscule).

Comment fonctionne le ransomware Clop ?

Clop procède de manière stratégique afin de ne pas être repéré. Voici comment cela se passe

1. Vecteur d'infection

Le ransomware Clop commence par exfiltrer les systèmes en envoyant des courriels d'hameçonnage contenant des téléchargements ou des liens infectés, en implantant des logiciels malveillants, en installant des kits d'exploitation, etc. Une autre tactique courante consiste à envoyer des courriels avec des pièces jointes HTML malveillantes qui conduisent la victime vers un document contenant des macros. Cela permet d'installer le chargeur Get2 qui facilite le téléchargement d'outils et de programmes infectés tels que SDBOT, FlawedAmmyy et Cobalt Strike.

2. Compromis initial

Après avoir obtenu l'accès, le ransomware exécute la charge utile et commence ses opérations maléfiques sur l'appareil ou le réseau compromis. Il est probable qu'il progresse latéralement au sein du réseau pour infecter d'autres systèmes et serveurs.

3. Cryptage des fichiers

Il utilise un algorithme de chiffrement puissant pour chiffrer les fichiers sur le système de la victime. Il s'agit notamment de données critiques telles que des documents, des images, des bases de données et d'autres fichiers qui peuvent être essentiels pour la victime. Ce faisant, il leur donne le contrôle de leurs données et les incite à payer rapidement la rançon. 

4. Renommer un fichier

Les fichiers cryptés sont souvent renommés avec une extension spécifique, telle que ".clop", ce qui les rend facilement identifiables comme étant cryptés par Clop.

5. Demande de rançon

Le ransomware Clop laisse généralement une note de rançon dans chaque dossier contenant des fichiers chiffrés. Cette note fournit des instructions à la victime sur la manière de payer la rançon (généralement en crypto-monnaie) pour obtenir la clé de déchiffrement.

6. Exfiltration de données et double extorsion

En plus de crypter les fichiers contre rançon, ils exfiltrent des données sensibles et menacent la victime de divulguer les informations si la rançon n'est pas payée dans le délai imparti. Ils peuvent également intimider les victimes en leur disant qu'ils vendront les données volées à des concurrents ou sur le dark web, ce qui accroît la pression.

7. Persistance et obscurcissement

Le ransomware Clop peut tenter de persister dans le système en créant des portes dérobées ou en modifiant les paramètres du système. Il peut également employer des techniques pour échapper à la détection par les logiciels antivirus ou les outils de sécurité.

8. Négociation de la rançon

Comme indiqué ci-dessus, les pirates laissent une note de rançon, qui est ensuite utilisée comme moyen de communication (principalement par le biais d'un chat basé sur TOR ou d'un courrier électronique) afin que les victimes puissent négocier le paiement de la rançon et recevoir des instructions pour décrypter les données prises en otage.

Que faire si vous avez déjà été victime d'une attaque de ransomware Clop ?

Si vous rencontrez des indicateurs du ransomware clop, isolez immédiatement les systèmes et les réseaux infectés afin d'éviter qu'il ne se propage et n'aggrave la situation. Déterminez l'ampleur de l'attaque. Identifiez les systèmes et les données qui ont été chiffrés et déterminez si des données ont été exfiltrées. Documentez les résultats, car vous pourriez avoir besoin de ces informations pour des demandes d'indemnisation ou des rapports d'application de la loi.

La gestion de tout cela peut s'avérer compliquée, c'est pourquoi vous pouvez demander l'aide d'un professionnel. Vous devrez également signaler l'agression aux autorités chargées de l'application de la loi. Celles-ci peuvent vous apporter leur soutien, s'efforcer de prévenir de nouvelles agressions et éventuellement retrouver les auteurs.

Nous vous conseillons également de conserver les preuves de l'exploitation en vue d'une enquête ultérieure. Il s'agit généralement des journaux et des notes de rançon.

La plupart des entreprises conservent des sauvegardes et, si vous en faites partie, restaurez les données après avoir nettoyé votre système afin d'éviter tout risque de réinfection. Si les pirates n'optent pas pour la double extorsion, la restauration des sauvegardes peut vous sauver la vie ! 

Stratégies de prévention du ransomware Clop

Compte tenu des dommages qu'il peut causer, il est d'autant plus important de mettre en place des pratiques préventives au sein de votre organisation afin d'éviter les ransomwares clop et les attaques similaires.

• Logiciels et dispositifs patchés

Les logiciels et les appareils non corrigés sont faciles à pénétrer, et c'est pourquoi les pirates informatiques adorent s'y glisser. Les vulnérabilités de ces logiciels et appareils sont bien documentées, ce qui donne un avantage aux pirates, qui n'ont pas à découvrir de nouvelles façons de s'introduire. Ils se contentent d'utiliser ce qui est déjà connu !

Avec l'introduction de la cybercriminalité en tant que service (CaaS), de nombreux outils sont disponibles à moindre coût et sont connus pour exploiter certains types de logiciels non corrigés. C'est une autre bonne raison pour les pirates de cibler vos systèmes non mis à jour. Ne négligez donc pas les notifications de mise à jour.   

• Formation de l'équipe

Il est impossible de surveiller tous les appareils, systèmes, réseaux, fichiers, courriels, etc. pour identifier les indicateurs du ransomware Clop. Formez donc les membres de votre équipe, quel que soit leur service, à reconnaître les signes d'invasion. N'oubliez pas que dans les attaques basées sur l'ingénierie sociale, vos employés sont votre première ligne de défense !

Prévoyez des réunions régulières pour les informer sur la sécurité des appareils, les mises à jour logicielles et la protection des données. Ils doivent savoir comment signaler toute activité suspecte ou potentiellement dangereuse à la bonne personne. En outre, si votre équipe travaille à distance, formez-la aux meilleures pratiques pour sécuriser les réseaux et les appareils domestiques, comme l'utilisation de VPN et de Wi-Fi sécurisés.

Il faut avant tout encourager l'utilisation de gestionnaires de mots de passe, la définition de mots de passe forts et uniques, et le fait de ne pas les partager ou les écrire.

• Segmentation du réseau

La fragmentation du réseau est une stratégie de cybersécurité qui consiste à diviser un réseau en segments plus petits et isolés, séparés par des mesures de sécurité telles que des pare-feu. Cette approche permet de se protéger contre les attaques de ransomware en limitant la capacité de l'attaque à se propager sur l'ensemble du réseau. 

Si le ransomware Clop infecte un segment, la fragmentation du réseau peut contenir les dégâts et les empêcher d'atteindre d'autres parties du réseau. En outre, la surveillance de segments de réseau plus petits permet aux équipes de sécurité de détecter les menaces et d'y répondre plus efficacement.

• Filtrage des courriels

Les filtres de messagerie vérifient les courriels entrants contenant des téléchargements malveillants, des liens ou des charges utiles de ransomware et bloquent leur entrée. Les versions les plus récentes des outils de filtrage du courrier électronique peuvent analyser le comportement de l'utilisateur afin de détecter et de signaler les anomalies.

• Bac à sable

Dans le cadre du sandboxing, les applications ou les codes potentiellement dangereux sont exécutés dans un environnement contrôlé et isolé appelé sandbox. Un bac à sable est complètement séparé de l'environnement technique principal. Il permet d'exécuter et de tester en toute sécurité des codes potentiellement malveillants.

Cette méthode permet également aux équipes de sécurité d'étudier le comportement du ransomware et de développer des contre-mesures. Grâce au sandboxing, les entreprises peuvent identifier et bloquer efficacement les menaces de ransomware avant qu'elles ne causent des dommages.

Le courrier électronique étant un vecteur important de cyberattaques et de ransomwares, il est essentiel de le protéger. Notre analyseur DMARC est une solution unique pour vos besoins en matière de sécurité du courrier électronique! Essayez-le en faisant un essai gratuit pour votre domaine.

• À propos de
• Derniers messages

Ahona Rudra

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Explication des codes d'erreur SMTP - 20 mai 2024
• 10 meilleurs conseils et stratégies de protection des courriels - 15 mai 2024
• La blockchain peut-elle contribuer à améliorer la sécurité des courriels ? - 9 mai 2024