Le CERT-FR publie un rapport concernant le rançongiciel Clop

Ces dernières semaines, l’ANSSI a observé plusieurs attaques ayant pour point commun le déploiement du rançongiciel Clop sur des systèmes d’information (SI) en France. Cette série d’attaques semble être le fruit d’une campagne d’hameçonnage réalisée autour du 16 octobre 2019 et attribuée au groupe de cybercriminels TA505.

Le rançongiciel Clop a été observé pour la première fois en février 2019, et a subi de nombreuses modifications mineures. Le groupe associé à la campagne déployée en octobre, TA505, est un groupe de cybercriminels actif depuis 2014 et qui cible principalement les secteurs de la finance, de la distribution, des institutions gouvernementales, et depuis 2019, de la recherche, de  l’énergie, de l’aviation et de la santé. Il est majoritairement distribué à travers des campagnes d’hameçonnage à large spectre.

Le programme malveillant Clop chiffre les documents stockés sur le SI et leur ajoute l’extension « .CIop » ou « .Clop ». Cependant, les analyses réalisées par l’ANSSI ont permis d’observer que le rançongiciel Clop ne procédait au chiffrement des fichiers que quelques jours après l’intrusion des attaquants dans le SI ciblé. En effet, durant ce laps de temps, les attaquants procèdent à des actions de propagation manuelle au sein du réseau ciblé et il est possible de les détecter à ce moment-là.

Recommandations
+
  • Réduire la possibilité de déclenchement de la charge de chiffrement par un « durcissement » du poste de travail : contrôle d’exécution du fichier, outils d’analyse comportementale ;
  • Envisager des systèmes de sauvegardes déconnectées (« à froid ») pour les données les plus critiques ;
  • Mettre en place un système de cloisonnement des niveaux d’administration pour isoler les plus hauts niveaux d’administration potentiellement atteignables par les attaquants. Le chiffrement de l’Active Directory, qui est le cœur de l’authentification réseau, représente un risque posé par les rançongiciels.