Cl0p

Cl0p est l'un des groupes de ransomware les plus perturbateurs de la dernière décennie, connu pour son exploitation massive des vulnérabilités du transfert de fichiers, ses campagnes d'extorsion à l'échelle mondiale et son adaptation sans relâche malgré les mesures répressives répétées des forces de l'ordre.

Votre organisation est-elle à l'abri d'une attaque par le ransomware Cl0p ?

L'origine du Cl0p

Cl0p est un groupe cybercriminel à motivation financière observé pour la première fois en 2019, opérant comme une variante de ransomware au sein du syndicat cybercriminel plus large TA505. Le groupe s'est rapidement distingué en adoptant un double modèle d'extorsion, chiffrant les fichiers tout en exfiltrant les données sensibles pour un effet de levier supplémentaire. Au fil du temps, Cl0p est devenu l'une des opérations de ransomware-as-a-service (RaaS) les plus actives et les plus destructrices, ciblant des organisations du monde entier.

Le groupe est associé à des acteurs russophones et les services de renseignement suggèrent des liens avec l'Europe de l'Est. Ses opérations se sont constamment adaptées aux pressions exercées par les forces de l'ordre, faisant preuve de résilience et de sophistication opérationnelle.

Pays ciblés par Cl0p

Des victimes ont été signalées en Amérique du Nord, en Europe et dans la région Asie-Pacifique. Les États-Unis, la Corée du Sud, l'Allemagne et le Royaume-Uni ont été parmi les plus touchés, bien que Cl0p ait une présence mondiale.

Industries ciblées par Cl0p

Cl0p a toujours ciblé les secteurs de la finance, de la santé, de l'éducation, du gouvernement, de l'énergie et de la technologie. Le choix des victimes se porte sur des organisations dont les opérations sont essentielles, ce qui augmente la pression exercée par les rançongiciels. Cl0p a notamment exploité les faiblesses de la chaîne d'approvisionnement en logiciels pour accéder simultanément à des centaines d'entreprises.

Victimes connues de Cl0p

Parmi les victimes les plus connues figurent Accellion, Shell, Qualys, Flagstar Bank et des clients de GoAnywhere MFT. Grâce à des campagnes d'exploitation de masse, Cl0p a réussi à toucher des dizaines d'entreprises du classement Fortune 500, ainsi que des agences gouvernementales et des universités.

Méthode d'attaque

Méthode d'attaque de Cl0p

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Cl0p est surtout connu pour s'introduire par le biais de vulnérabilités de zero-day dans des systèmes de transfert de fichiers gérés tels que Accellion FTA, GoAnywhere MFT et MOVEit Transfer. Ces systèmes sont des cibles attrayantes parce qu'ils sont largement utilisés dans tous les secteurs, qu'ils contiennent souvent des données sensibles et qu'ils sont directement accessibles depuis l'internet. Le groupe a également été observé en train d'utiliser des campagnes d'phishing avec des pièces jointes malveillantes pour obtenir des informations d'identification valides, bien que l'exploitation à grande échelle des logiciels d'entreprise reste leur principale méthode.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Une fois à l'intérieur, les opérateurs de Cl0p agissent rapidement pour s'assurer un accès privilégié. Ils s'appuient sur des outils tels que Mimikatz pour extraire des informations d'identification et peuvent exploiter des services Windows mal configurés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Les comptes valides sont ensuite utilisés pour la persistance, ce qui leur permet de rester dans les environnements sans être détectés tout en préparant les phases suivantes de leur opération. Cl0p montre qu'il connaît les outils de sécurité de l'entreprise. Ils tentent de désactiver les antivirus et la protection des endpoint , de manipuler les journaux et d'utiliser des techniques d'obscurcissement pour dissimuler leur activité. Dans les campagnes les plus récentes, le trafic d'exfiltration crypté a été utilisé pour éviter de déclencher des contrôles de prévention de la perte de données ou de détection d'intrusion.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Récupère les informations d'identification de l'administrateur par le biais de l'enregistrement des frappes, du grattage de la mémoire et du vidage des informations d'identification.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Effectuer une reconnaissance interne pour cartographier les systèmes et identifier les données sensibles.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Avec des informations d'identification valides en main, Cl0p utilise des techniques telles que l'abus de RDP et PSExec pour se déplacer latéralement. Ils ciblent les partages administratifs et exploitent les comptes de domaine pour se répandre rapidement dans les environnements d'entreprise. Cette étape est cruciale pour identifier les dépôts de données sensibles avant l'exfiltration.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Se concentre principalement sur l'identification et l'exfiltration de documents confidentiels, de propriété intellectuelle et de données personnelles.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le groupe déploie la charge utile du ransomware Cl0p pour chiffrer les fichiers à l'aide d'une combinaison de chiffrement AES et RSA, laissant derrière lui des notes de rançon avec des instructions de négociation.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Transfère les données volées vers des serveurs externes sous le contrôle du groupe, souvent avant le cryptage.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Le cryptage est généralement réservé à la phase finale, ce qui permet de s'assurer que les données sensibles ont déjà été volées. Les victimes qui refusent de payer s'exposent à une publication sur le site Cl0p^_- LEAKS, qui sert à la fois de moyen de pression et d'outil de réputation pour le groupe.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Cl0p est surtout connu pour s'introduire par le biais de vulnérabilités de zero-day dans des systèmes de transfert de fichiers gérés tels que Accellion FTA, GoAnywhere MFT et MOVEit Transfer. Ces systèmes sont des cibles attrayantes parce qu'ils sont largement utilisés dans tous les secteurs, qu'ils contiennent souvent des données sensibles et qu'ils sont directement accessibles depuis l'internet. Le groupe a également été observé en train d'utiliser des campagnes d'phishing avec des pièces jointes malveillantes pour obtenir des informations d'identification valides, bien que l'exploitation à grande échelle des logiciels d'entreprise reste leur principale méthode.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Une fois à l'intérieur, les opérateurs de Cl0p agissent rapidement pour s'assurer un accès privilégié. Ils s'appuient sur des outils tels que Mimikatz pour extraire des informations d'identification et peuvent exploiter des services Windows mal configurés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Les comptes valides sont ensuite utilisés pour la persistance, ce qui leur permet de rester dans les environnements sans être détectés tout en préparant les phases suivantes de leur opération. Cl0p montre qu'il connaît les outils de sécurité de l'entreprise. Ils tentent de désactiver les antivirus et la protection des endpoint , de manipuler les journaux et d'utiliser des techniques d'obscurcissement pour dissimuler leur activité. Dans les campagnes les plus récentes, le trafic d'exfiltration crypté a été utilisé pour éviter de déclencher des contrôles de prévention de la perte de données ou de détection d'intrusion.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Récupère les informations d'identification de l'administrateur par le biais de l'enregistrement des frappes, du grattage de la mémoire et du vidage des informations d'identification.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Effectuer une reconnaissance interne pour cartographier les systèmes et identifier les données sensibles.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Avec des informations d'identification valides en main, Cl0p utilise des techniques telles que l'abus de RDP et PSExec pour se déplacer latéralement. Ils ciblent les partages administratifs et exploitent les comptes de domaine pour se répandre rapidement dans les environnements d'entreprise. Cette étape est cruciale pour identifier les dépôts de données sensibles avant l'exfiltration.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Se concentre principalement sur l'identification et l'exfiltration de documents confidentiels, de propriété intellectuelle et de données personnelles.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Le groupe déploie la charge utile du ransomware Cl0p pour chiffrer les fichiers à l'aide d'une combinaison de chiffrement AES et RSA, laissant derrière lui des notes de rançon avec des instructions de négociation.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Transfère les données volées vers des serveurs externes sous le contrôle du groupe, souvent avant le cryptage.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Le cryptage est généralement réservé à la phase finale, ce qui permet de s'assurer que les données sensibles ont déjà été volées. Les victimes qui refusent de payer s'exposent à une publication sur le site Cl0p^_- LEAKS, qui sert à la fois de moyen de pression et d'outil de réputation pour le groupe.

MITRE ATT&CK Mapping

Les TTP de Cl0p

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1078
Valid Accounts
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1074
Data Staged
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact

Foire aux questions

Quand le Cl0p a-t-il été identifié pour la première fois ?

Qu'est-ce qui rend Cl0p unique par rapport à d'autres groupes de ransomware ?

Quelles sont les méthodes de cryptage utilisées par Cl0p ?

Comment Cl0p obtient-il un accès initial ?

Quelle a été leur campagne la plus marquante ?

Des mesures d'application de la loi ont-elles été prises à l'encontre de Cl0p ?

Comment Cl0p gère-t-il les négociations relatives aux rançons ?

Cl0p fonctionne-t-il comme un RaaS ?

La plateforme Vectra AI peut-elle détecter les activités de Cl0p ?

Quel est le statut actuel de Cl0p au 2 octobre 2025 ?