11 juillet 2023
Sommaire
Le rançongiciel CL0P (parfois présenté sous les noms CLOP, Clop ou Cl0p) a d’abord été observé au Canada en février 2020. Il est exploité par le groupe cybercriminel TA505 (aussi connu sous les noms GRACEFUL SPIDER, Lace Tempest, Spandex Tempest, DEV-0950, FIN11, Evil Corp, GOLD TAHOE, GOLD EVERGREEN, Chimborazo, Hive0065 et ATK103), qui mène des activités malveillantes depuis au moins 2014.Notes de bas de page 1
En mai 2023, CL0P/TA505 a commencé à avoir recours à des exploits du jour zéro dans MOVEit Transfer, une solution de transfert géré de fichiers largement utilisée. Dans le cadre de cette exploitation, le groupe a pris pour cible un grand nombre d’organisations, dont plusieurs organismes gouvernementaux des États-Unis.Notes de bas de page 2
Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) estime qu’il est très probable que TA505 continue de poser une menace pour les organisations canadiennes et internationales en 2024. Cela dit, il existe un risque relativement égal qu’il cesse temporairement ses attaques par rançongiciel afin d’échapper aux autorités pendant une brève période. À moyen terme, TA505 continuera probablement d’utiliser le rançongiciel CL0P et il est probable qu’il élabore de nouvelles techniques, techniques et procédures (TTP) pour faciliter ses activités cybercriminelles.
Vue d’ensemble
Le rançongiciel CL0P est exploité par le groupe cybercriminel TA505. Le Centre pour la cybersécurité évalue que TA505 est un groupe cybercriminel presque certainement russophone et motivé par le gain financier qui adhère au modèle de rançongiciel comme service (RaaS pour Ransomware-as-a-Service) et qui est très probablement basé dans un pays de la Communauté des États indépendants (CEI). Un groupe cybercriminel de rançongiciel comme service assure le bon fonctionnement d’une variante précise d’un rançongiciel, en vend l’accès à des personnes ou à des groupes d’opératrices ou opérateurs (que l’on appelle souvent des affiliées ou affiliés) et appuie le déploiement de son rançongiciel en échange d’un paiement initial, de frais d’abonnement ou d’un pourcentage des profits, ou les trois.
TA505 mène des activités malveillantes depuis au moins 2014. En plus d’exploiter le RaaS CL0P, TA505 a également assumé les rôles suivants :
- une filiale ou un développeur d’autres activités liées à un RaaS, comme les rançongiciels LockBit, Hive, Locky et REvil;
- un courtier d’accès vendant l’accès à des réseaux d’entreprise compromis;
- un grand exploitant de réseaux zombies spécialisé dans la fraude financière et les attaques d’hameçonnage, ce qui comprend l’utilisation du cheval de Troie bancaire Dridex.Notes de bas de page 3
Le rançongiciel CL0P a d’abord été observé à l’étranger en 2019. Il est possiblement le résultat d’une évolution par rapport aux rançongiciels CryptFile2, CryptoMix et Work.Notes de bas de page 4
Tactiques, techniques et procédures (TTP) notables
De nombreux organismes de troisième part ont publié des analyses détaillées des TTP associées aux différentes itérations du rançongiciel CL0P.Notes de bas de page 5
Il a été déterminé que CL0P/TA505 utilisait TrueBot, un réseau zombie dont se servent des groupes malveillants pour recueillir et exfiltrer les données sensibles de ses victimes afin d’obtenir un gain financier. Un rapport de source ouverte indique que les auteures et auteurs de cybermenace emploient des campagnes d’hameçonnage comportant des hyperliens de redirection malveillants et tirent avantage de la vulnérabilité CVE-2022-31199 (une vulnérabilité critique d’exploitation de code à distance touchant le logiciel Netwrix Auditor) pour créer de nouvelles variantes du rançongiciel TrueBot. TrueBot est utilisé au cours des phases initiales d’une attaque par rançongiciel en vue de collecter les renseignements des victimes et de permettre à l’auteure ou l’auteur de menace de déployer le rançongiciel CL0P sur le réseau d’une victime.Notes de bas de page 6
Selon les rapports, CL0P/TA505 aurait tiré avantage des exploits du jour zéro dans MOVEit Transfer. Le 7 juin 2023, la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) des États-Unis ont publié un bulletin indiquant ce qui suit :
- Depuis le 27 mai 2023, CL0P a commencé à exploiter une vulnérabilité d’injection SQL déjà connue (CVE-2023-34362 [voir le tableau 1]) dans la solution de transfert géré de fichiers de Progress Software appelée MOVEit Transfer;
- Les applications Web de MOVEit Transfer accessibles au public étaient infectées d’un code encoquillé appelé LEMURLOOT, qui était utilisé pour voler les données des bases de données sous-jacentes de MOVEit Transfer.Notes de bas de page 7
La National Institute of Standards and Technology (NIST) des États-Unis a publié des conseils techniques sur la vulnérabilité CVE-2023-34362, indiquant qu’une vulnérabilité d’injection SQL avait été découverte dans l’application Web de MOVEit Transfer et que celle-ci pourrait permettre à une attaquante ou un attaquant non authentifié d’obtenir accès à la base de données de MOVEit Transfer. La NIST a accordé à la vulnérabilité CVE-2023-34362 la cote de 9,8 sur 10 dans le système de notation des vulnérabilités courantes (CVSS pour Common Vulnerability Scoring System).Notes de bas de page 8
Progress Software a publié plusieurs correctifs et instructions d’atténuation pour corriger les vulnérabilités et expositions courantes (CVE pour Common Vulnerabilities and Exposures) associées aux exploits du jour zéro susmentionnés dans MOVEit Transfer :
- CVE-2023-34362 (31 mai 2023) (en anglais seulement)
- CVE-2023-35036 (9 juin 2023) (en anglais seulement)
- CVE-2023-35708 (15 juin 2023) (en anglais seulement)
- CVE-2023-36932, CVE-2023-36933, CVE-2023-36934 (7 juillet 2023) (en anglais seulement)
Le groupe TA505 avait déjà mené des campagnes d’exploitation du jour zéro similaires contre les dispositifs de transfert de fichiers d’Accellion en 2020 et 2021, et les serveurs GoAnywhere MFT de Fortra et de Linoma au début de 2023.Notes de bas de page 7
Campagne MOVEit Transfer contre le gouvernement américain et d’autres victimes
De nombreux organismes gouvernementaux des États-Unis ont été victimes de cyberintrusions liées à la vulnérabilité touchant MOVEit Transfer, tel qu’il a été rapporté dans les médias le 15 juin 2023. La CISA a indiqué qu’elle avait offert du soutien à plusieurs des organismes touchés afin de comprendre les répercussions et de veiller à ce que des mesures d’intervention soient prises en temps opportun. CL0P/TA505 a revendiqué ces attaques et a déclaré avoir supprimé toutes les données qui avaient été extraites.Notes de bas de page 9
Plusieurs autres organisations ont été victimes de CL0P/TA505 dans le cadre des campagnes d’exploitation liées à MOVEit Transfer qui ont commencé en mai 2023. CL0P/TA505 a déclaré le 6 juin 2023 qu’advenant le non-paiement des rançons, il commencerait à publier dès le 14 juin les données volées auprès de centaines d’entreprises durant cette campagne.Notes de bas de page 10
CL0P/TA505 a revendiqué les attaquées de MOVEit Transfer et a publié un avis sur son site Dedicated Leak Site (DLS).Notes de bas de page 11
Le 16 juin 2023, le Département d’État des États-Unis a annoncé qu’il verserait une récompense de plus de 10 millions USD $ pour toute information permettant de relier le groupe du rançongiciel CL0P ou tout autre auteur malveillant ciblant les infrastructures essentielles américaines à un gouvernement étranger.Notes de bas de page 12
Conclusion
Le rançongiciel CL0P représente une menace pour les organisations canadiennes et internationales depuis au moins 2019 et le groupe TA505, depuis au moins 2014. La ténacité du groupe TA505 lui a permis non seulement de durer plus longtemps que les autres organisations cybercriminelles, mais de tirer avantage de celles-ci. Depuis mai 2023, CL0P/TA505 a intensifié ses activités malveillantes contre les organisations à l’échelle mondiale en ayant recours aux exploits du jour zéro dans MOVEit Transfer.Notes de bas de page 7
Le Centre pour la cybersécurité estime qu’il est très probable que TA505 continue de poser une menace pour les organisations canadiennes et internationales en 2024. Cela dit, il existe un risque relativement égal qu’il cesse temporairement ses attaques par rançongiciel afin d’échapper aux autorités pendant une brève période. À moyen terme, TA505 continuera probablement d’utiliser le rançongiciel CL0P et il est probable qu’il élabore de nouvelles TTP pour faciliter ses activités cybercriminelles.