Les autorités ukrainiennes ont inculpé cette semaine six personnes soupçonnées de faire partie du Groupe de rançongiciels CLOP, un gang de cybercriminels qui aurait extorqué plus d’un demi-milliard de dollars aux victimes. Certaines des victimes de CLOP cette année seulement comprennent École de médecine de l’Université de Stanfordla Université de Californieet Université du Maryland.
Une image fixe d’une vidéo montrant la police ukrainienne saisissant une Tesla, l’un des nombreux véhicules haut de gamme saisis lors des raids de cette semaine sur le gang Clop.
Selon une déclaration et des vidéos diffusées aujourd’hui, la cyberpolice ukrainienne a inculpé six accusés de divers délits informatiques liés au gang CLOP et a effectué 21 perquisitions dans toute la région de Kiev.
Lancé pour la première fois début 2019, CLOP est l’un des nombreux groupes de rançongiciels qui piratent les organisations, lancent des rançongiciels qui cryptent les fichiers et les serveurs, puis exigent un paiement d’extorsion en échange d’une clé numérique nécessaire pour déverrouiller l’accès.
/
CLOP a été particulièrement occupé au cours des six derniers mois à exploiter quatre vulnérabilités zero-day différentes dans Appareil de transfert de fichiers (FTA), un produit de partage de fichiers fabriqué par la société californienne Accellion.
Le gang CLOP s’est emparé de ces failles pour déployer un rançongiciel sur un nombre important de clients FTA d’Accelliony compris la chaîne d’épicerie américaine Krogerle cabinet d’avocats Jour Jonesentreprise de sécurité Qualyset le géant singapourien des télécoms Unique.
L’année dernière, CLOP a adopté la pratique consistant à tenter d’obtenir une deuxième demande de rançon des victimes en échange d’une promesse de ne pas publier ou vendre des données volées. Des téraoctets de documents et de fichiers volés à des organisations de victimes qui n’ont pas payé de rançon de données sont désormais disponibles en téléchargement sur le site Web profond de CLOP, y compris Stanford, UCLA et l’Université du Maryland.
Le blog d’humiliation des victimes de CLOP sur le Web profond.
On ne sait pas dans quelle mesure cette opération d’application de la loi par les autorités ukrainiennes affectera les opérations globales du groupe CLOP. Cabinet de renseignement en cybersécurité Intel 471 affirme que les raids des forces de l’ordre en Ukraine se sont limités au seul aspect de l’encaissement et du blanchiment d’argent des activités de CLOP.
« Nous ne pensons pas que les principaux acteurs derrière CLOP aient été appréhendés, car ils vivent probablement en Russie », a conclu Intel 471. « L’impact global sur CLOP devrait être mineur, bien que cette attention des forces de l’ordre puisse entraîner l’abandon de la marque CLOP, comme nous l’avons récemment vu avec d’autres groupes de rançongiciels comme DarkSide et Babouk” [links added].
Bien que le CLOP, en tant que collectif lucratif, soit une organisation assez jeune, les experts en sécurité affirment que les membres du CLOP sont issus d’un groupe d’acteurs de la menace (TA) connu sous le nom de « TA505, » qui MITREc’est AT&CT La base de données indique qu’il s’agit d’un groupe de cybercriminalité à motivation financière qui est actif depuis au moins 2014. « Ce groupe est connu pour modifier fréquemment les logiciels malveillants et diriger les tendances mondiales de la distribution de logiciels malveillants criminels », a évalué MITRE.