Rançongiciel Clop : leçons d’une énième campagne massive d’attaques

Le 1er juin 2023, la presse spécialisée se faisait l’écho d’une campagne d’exploitation en série d’une vulnérabilité zero-day affectant MOVEit Transfer, l’application de transfert de fichiers sécurisé. Les attaquants auraient profité de cette vulnérabilité de type injection SQL, baptisée CVE-2023-34362, pour déposer sur les serveurs de leurs victimes un webshell.

La campagne vise, in fine, à exfiltrer en masse les fichiers hébergés sur les instances vulnérables exposées sur Internet, et ce pour extorquer le paiement d’une rançon aux victimes. Si le nombre exact de celles-ci demeure pour l’heure inconnu, il devrait être important comme le suggèrent les milliers de services en ligne affectés par cette faille au moment de l’attaque.

Une sophistication croissante

Actif depuis 2019, Clop est un ransomware-as-a-service (RaaS), c’est-à-dire un rançongiciel qu’il est possible de louer. Afin de compromettre leurs victimes, les opérateurs du rançongiciel privilégient aujourd’hui l’exploitation de vulnérabilités zero-day, en particulier celles affectant les outils de transfert de fichier. Clop est ainsi accusé d’être à l’origine des campagnes de masse visant GoAnywhere PFT (avril 2023) et FTA d’Acellion (décembre 2020).

L’exemple de Clop est emblématique. Il démontre encore une fois que l’exploitation de vulnérabilités zero-day, comme vecteur de compromission initiale, n’est plus l’apanage des États. En réalité, la frontière en termes de capacité entre acteurs cybercriminels et acteurs étatiques tend de plus en plus à se réduire. Une telle sophistication n’est probablement pour l’heure l’apanage que d’une minorité de cybercriminels mais celle-ci ne cesse de croître.

Cette montée en gamme des cybercriminels s’observe également en matière d’organisation de leurs campagnes d’attaques. Ici encore, l’exemple de Clop est révélateur. Selon les chercheurs de Kroll, les opérateurs dudit ransomware auraient commencé à tester la meilleure façon d’exploiter en masse la faille affectant les produits MOVEit plus d’un an avant le lancement de leur attaque. L’objectif est clairement d’être en mesure d’exploiter la vulnérabilité en leur possession le plus massivement et rapidement possible, et ainsi de compromettre un maximum de victimes.

Des attaquants pragmatiques

Les récentes campagnes de Clop soulignent également le pragmatisme de certains acteurs cybercriminels. Les opérateurs de ce rançongiciel ciblent en effet des technologies de transfert de fichier en priorité car cela représente plusieurs avantages de leur point de vue. Tout d’abord, ces technologies sont largement utilisées dans le monde, ce qui implique l’existence de très nombreux serveurs exposés. En outre, les outils de transfert de fichiers sont utilisés, comme leur nom l’indique, pour échanger des fichiers, généralement dans un environnement professionnel.

Cibler ce genre de services permet ainsi à Clop de directement accéder à des données commerciales, techniques ou personnelles pour lesquels il sera potentiellement plus facile d’obtenir le paiement d’une rançon. Enfin, les services de transfert de fichiers sont parfois partagés par des entreprises et leurs clients ou partenaires, permettant ainsi à Clop d’infecter un plus grand nombre de victimes, et donc de maximiser leurs profits.

D’une certaine manière, leur pragmatisme pousse certains acteurs de l’écosystème cybercriminel à la spécialisation, un phénomène qui n’est pas propre à Clop. Nombreux sont en effet les attaquants à chercher à se focaliser sur leur avantage comparatif, comme le développement ou la mise à disposition de stealer, la vente d’accès compromis ou encore l’offre de ransomware-as-a-service.

Ce faisant, les acteurs cybercriminels se comportent comme des agents rationnels, privilégiant l’efficacité pour un maximum de profit. Il n’est d’ailleurs pas rare que les techniques d’extorsion utilisées par les attaquants soient modifiées, multipliant celles-ci ou au contraire abandonnant celles qui sont les moins efficaces. Les opérateurs de Clop ont ainsi fait part de leur volonté d’abandonner le chiffrement de fichiers comme moyen d’extorsion au profit de la simple menace de diffusion des informations dérobées.

Des attaquants opportunistes

Les cybercriminels peuvent également se montrer particulièrement opportunistes, exploitant les « faiblesses » de leurs adversaires. Il est ainsi courant que les attaquants, comme les opérateurs de Clop qui ont ici agi la veille du Memorial Day aux États-Unis, lancent leurs campagnes les veilles de week-end prolongé. Avec la volonté de tirer profit des effectifs réduits au sein des équipes de détection en de telles périodes.

On retrouve également un tel opportunisme du côté d’attaquants, moins sophistiqués, qui se contentent d’exploiter très rapidement les vulnérabilités one-day, c’est-à-dire les failles connues mais pour lesquelles il n’existe pas encore de correctif. L’exploitation en masse d’une telle vulnérabilité par les cybercriminels peut ainsi intervenir seulement quelques heures après la publication d’un Proof of Concept (PoC) démontrant comment tirer profit de ladite vulnérabilité.

Des attaquants résilients

Clop apparait enfin en tant que menace particulièrement résiliente eu égard à l’arrestation de 6 de ses membres en 2021 ainsi qu’au démantèlement allégué d’une partie de son infrastructure. Depuis de nombreuses années, les travaux d’analyse économique du droit ont montré que les criminels sont des agents rationnels pour qui ce n’est pas tant la gravité de la sanction que la probabilité d’être confrontés à celle-ci qui détermine leurs actions.

Ce raisonnement, parfaitement transposable aux cybercriminels, suggère qu’il n’y aura pas de baisse sensible de cette délinquance tant que la probabilité d’être arrêté n’augmentera pas suffisamment. Or une large partie des cybercriminels opère depuis la Russie, où Moscou tolère leurs agissements. Il est ainsi peu probable que le nombre d’arrestations augmente significativement ; et donc que les cybercriminels soient prochainement dissuadés de se livrer à leurs méfaits.