Cl0p
Cl0p est l'un des groupes de ransomware les plus perturbateurs de la dernière décennie, connu pour son exploitation massive des vulnérabilités du transfert de fichiers, ses campagnes d'extorsion à l'échelle mondiale et son adaptation sans relâche malgré les mesures répressives répétées des forces de l'ordre.
L'origine du Cl0p
Cl0p est un groupe cybercriminel à motivation financière observé pour la première fois en 2019, opérant comme une variante de ransomware au sein du syndicat cybercriminel plus large TA505. Le groupe s'est rapidement distingué en adoptant un double modèle d'extorsion, chiffrant les fichiers tout en exfiltrant les données sensibles pour un effet de levier supplémentaire. Au fil du temps, Cl0p est devenu l'une des opérations de ransomware-as-a-service (RaaS) les plus actives et les plus destructrices, ciblant des organisations du monde entier.
Le groupe est associé à des acteurs russophones et les services de renseignement suggèrent des liens avec l'Europe de l'Est. Ses opérations se sont constamment adaptées aux pressions exercées par les forces de l'ordre, faisant preuve de résilience et de sophistication opérationnelle.
Pays ciblés par Cl0p
Des victimes ont été signalées en Amérique du Nord, en Europe et dans la région Asie-Pacifique. Les États-Unis, la Corée du Sud, l'Allemagne et le Royaume-Uni ont été parmi les plus touchés, bien que Cl0p ait une présence mondiale.
Industries ciblées par Cl0p
Cl0p a toujours ciblé les secteurs de la finance, de la santé, de l'éducation, du gouvernement, de l'énergie et de la technologie. Le choix des victimes se porte sur des organisations dont les opérations sont essentielles, ce qui augmente la pression exercée par les rançongiciels. Cl0p a notamment exploité les faiblesses de la chaîne d'approvisionnement en logiciels pour accéder simultanément à des centaines d'entreprises.
Victimes connues de Cl0p
Parmi les victimes les plus connues figurent Accellion, Shell, Qualys, Flagstar Bank et des clients de GoAnywhere MFT. Grâce à des campagnes d'exploitation de masse, Cl0p a réussi à toucher des dizaines d'entreprises du classement Fortune 500, ainsi que des agences gouvernementales et des universités.
Méthode d'attaque de Cl0p
Cl0p est surtout connu pour s'introduire par le biais de vulnérabilités de zero-day dans des systèmes de transfert de fichiers gérés tels que Accellion FTA, GoAnywhere MFT et MOVEit Transfer. Ces systèmes sont des cibles attrayantes parce qu'ils sont largement utilisés dans tous les secteurs, qu'ils contiennent souvent des données sensibles et qu'ils sont directement accessibles depuis l'internet. Le groupe a également été observé en train d'utiliser des campagnes d'phishing avec des pièces jointes malveillantes pour obtenir des informations d'identification valides, bien que l'exploitation à grande échelle des logiciels d'entreprise reste leur principale méthode.
Une fois à l'intérieur, les opérateurs de Cl0p agissent rapidement pour s'assurer un accès privilégié. Ils s'appuient sur des outils tels que Mimikatz pour extraire des informations d'identification et peuvent exploiter des services Windows mal configurés.
Les comptes valides sont ensuite utilisés pour la persistance, ce qui leur permet de rester dans les environnements sans être détectés tout en préparant les phases suivantes de leur opération. Cl0p montre qu'il connaît les outils de sécurité de l'entreprise. Ils tentent de désactiver les antivirus et la protection des endpoint , de manipuler les journaux et d'utiliser des techniques d'obscurcissement pour dissimuler leur activité. Dans les campagnes les plus récentes, le trafic d'exfiltration crypté a été utilisé pour éviter de déclencher des contrôles de prévention de la perte de données ou de détection d'intrusion.
Récupère les informations d'identification de l'administrateur par le biais de l'enregistrement des frappes, du grattage de la mémoire et du vidage des informations d'identification.
Effectuer une reconnaissance interne pour cartographier les systèmes et identifier les données sensibles.
Avec des informations d'identification valides en main, Cl0p utilise des techniques telles que l'abus de RDP et PSExec pour se déplacer latéralement. Ils ciblent les partages administratifs et exploitent les comptes de domaine pour se répandre rapidement dans les environnements d'entreprise. Cette étape est cruciale pour identifier les dépôts de données sensibles avant l'exfiltration.
Se concentre principalement sur l'identification et l'exfiltration de documents confidentiels, de propriété intellectuelle et de données personnelles.
Le groupe déploie la charge utile du ransomware Cl0p pour chiffrer les fichiers à l'aide d'une combinaison de chiffrement AES et RSA, laissant derrière lui des notes de rançon avec des instructions de négociation.
Transfère les données volées vers des serveurs externes sous le contrôle du groupe, souvent avant le cryptage.
Le cryptage est généralement réservé à la phase finale, ce qui permet de s'assurer que les données sensibles ont déjà été volées. Les victimes qui refusent de payer s'exposent à une publication sur le site Cl0p^_- LEAKS, qui sert à la fois de moyen de pression et d'outil de réputation pour le groupe.
Cl0p est surtout connu pour s'introduire par le biais de vulnérabilités de zero-day dans des systèmes de transfert de fichiers gérés tels que Accellion FTA, GoAnywhere MFT et MOVEit Transfer. Ces systèmes sont des cibles attrayantes parce qu'ils sont largement utilisés dans tous les secteurs, qu'ils contiennent souvent des données sensibles et qu'ils sont directement accessibles depuis l'internet. Le groupe a également été observé en train d'utiliser des campagnes d'phishing avec des pièces jointes malveillantes pour obtenir des informations d'identification valides, bien que l'exploitation à grande échelle des logiciels d'entreprise reste leur principale méthode.
Une fois à l'intérieur, les opérateurs de Cl0p agissent rapidement pour s'assurer un accès privilégié. Ils s'appuient sur des outils tels que Mimikatz pour extraire des informations d'identification et peuvent exploiter des services Windows mal configurés.
Les comptes valides sont ensuite utilisés pour la persistance, ce qui leur permet de rester dans les environnements sans être détectés tout en préparant les phases suivantes de leur opération. Cl0p montre qu'il connaît les outils de sécurité de l'entreprise. Ils tentent de désactiver les antivirus et la protection des endpoint , de manipuler les journaux et d'utiliser des techniques d'obscurcissement pour dissimuler leur activité. Dans les campagnes les plus récentes, le trafic d'exfiltration crypté a été utilisé pour éviter de déclencher des contrôles de prévention de la perte de données ou de détection d'intrusion.
Récupère les informations d'identification de l'administrateur par le biais de l'enregistrement des frappes, du grattage de la mémoire et du vidage des informations d'identification.
Effectuer une reconnaissance interne pour cartographier les systèmes et identifier les données sensibles.
Avec des informations d'identification valides en main, Cl0p utilise des techniques telles que l'abus de RDP et PSExec pour se déplacer latéralement. Ils ciblent les partages administratifs et exploitent les comptes de domaine pour se répandre rapidement dans les environnements d'entreprise. Cette étape est cruciale pour identifier les dépôts de données sensibles avant l'exfiltration.
Se concentre principalement sur l'identification et l'exfiltration de documents confidentiels, de propriété intellectuelle et de données personnelles.
Le groupe déploie la charge utile du ransomware Cl0p pour chiffrer les fichiers à l'aide d'une combinaison de chiffrement AES et RSA, laissant derrière lui des notes de rançon avec des instructions de négociation.
Transfère les données volées vers des serveurs externes sous le contrôle du groupe, souvent avant le cryptage.
Le cryptage est généralement réservé à la phase finale, ce qui permet de s'assurer que les données sensibles ont déjà été volées. Les victimes qui refusent de payer s'exposent à une publication sur le site Cl0p^_- LEAKS, qui sert à la fois de moyen de pression et d'outil de réputation pour le groupe.
Les TTP de Cl0p
Comment détecter Cl0p avec Vectra AI
Foire aux questions
Quand le Cl0p a-t-il été identifié pour la première fois ?
Cl0p a été vu pour la première fois en 2019, associé à TA505.
Qu'est-ce qui rend Cl0p unique par rapport à d'autres groupes de ransomware ?
Ils ont été les premiers à exploiter à grande échelle les solutions de transfert de fichiers gérées, permettant des campagnes de ransomware de type chaîne d'approvisionnement.
Quelles sont les méthodes de cryptage utilisées par Cl0p ?
Il utilise le cryptage hybride AES + RSA pour verrouiller les fichiers et garantir que le décryptage nécessite leur clé privée.
Comment Cl0p obtient-il un accès initial ?
Ils exploitent des vulnérabilités de type zero-day dans des appareils tels que Accellion FTA, MOVEit Transfer et GoAnywhere MFT, ainsi que l'phishing.
Quelle a été leur campagne la plus marquante ?
La campagne Accellion FTA (2020-2021 ) et l'exploitation de masse MOVEit en 2023 ont été parmi les plus dommageables.
Des mesures d'application de la loi ont-elles été prises à l'encontre de Cl0p ?
Oui. En 2021 et 2023, les forces de l'ordre ukrainiennes ont procédé à des descentes et à des arrestations d'affiliés avec le soutien d'Europol et d'Interpol. Des saisies d'infrastructures ont également perturbé temporairement les opérations.
Comment Cl0p gère-t-il les négociations relatives aux rançons ?
Ils utilisent des portails de communication anonymes, fixent des délais stricts et menacent de publier des données sensibles sur leur site de fuite.
Cl0p fonctionne-t-il comme un RaaS ?
Oui. Des affiliés sont recrutés pour diffuser les malware et des accords de partage des bénéfices sont mis en place.
La plateforme Vectra AI peut-elle détecter les activités de Cl0p ?
Oui. En analysant les mouvements latéraux, l'utilisation inhabituelle d'informations d'identification et les schémas d'exfiltration de données, la plateforme Vectra AI peut mettre en évidence des indicateurs précoces avant que le chiffrement ne commence.
Quel est le statut actuel de Cl0p au 2 octobre 2025 ?
Cl0p reste actif malgré des perturbations répétées. Ses campagnes se sont orientées vers l'exploitationzero-day outils de transfert de fichiers d'entreprise, ce qui lui permet de conserver sa réputation d'opérateur de ransomware à fort impact.