L’Ukraine arrête des membres du groupe de ransomware Clop et saisit des serveurs

0

Les forces de l’ordre Ukrainiennes ont arrêté des cybercriminels associés au gang de ransomware Clop et ont fermé les infrastructures utilisées dans les attaques ciblant les victimes dans le monde entier depuis au moins 2019.

Selon le département de cyberpolice de la police nationale d’Ukraine, le groupe de ransomware est à l’origine de dommages financiers totaux d’environ 500 millions de dollars.

« Ensemble, les forces de l’ordre ont réussi à fermer l’infrastructure à partir de laquelle le virus se propage et à bloquer les canaux de légalisation des crypto-monnaies acquises de manière criminelle », ont déclaré les autorités ukrainiennes.

« Les forces de l’ordre ont effectué 21 perquisitions dans la capitale et la région de Kiev, au domicile des accusés et dans leurs voitures. »

« Les accusés risquent jusqu’à huit ans de prison. Les enquêtes se poursuivent. Des directives procédurales sont fournies par le Bureau du procureur général d’Ukraine. »

D’après le communiqué de presse de la police ukrainienne, il n’est pas encore clair si les personnes arrêtées sont des affiliés ou des membres essentiels de l’opération de ransomware.

Les cybercriminels ont été arrêtés à la suite d’une opération internationale menée conjointement avec des agents des forces de l’ordre des États-Unis et de la Corée du Sud.

La société de cybersécurité Intel 471 a déclaré que les autorités ukrainiennes n’avaient arrêté que des personnes impliquées dans le blanchiment d’argent pour le gang Clop, car ses principaux membres sont probablement hors de danger en Russie.

« Les raids des forces de l’ordre en Ukraine associés au logiciel de rançon CLOP se sont limités à l’aspect de retrait/blanchiment d’argent des activités de CLOP », a déclaré Intel 471.

« Nous ne pensons pas qu’un acteur principal de CLOP ait été appréhendé et nous pensons qu’ils vivent probablement en Russie. »

« L’impact global sur CLOP devrait être mineur, bien que cette attention des forces de l’ordre puisse entraîner l’abandon de la marque CLOP, comme nous l’avons récemment vu avec d’autres groupes de ransomware comme DarkSide et Babuk. »

Activité précédente de l’opération du ransomware Clop

En plus des attaques de chiffrement, le gang du rançongiciel Clop était lié à la récente vague de violations de données Accellion qui a entraîné une augmentation drastique des paiements de rançon moyens calculés pour les trois premiers mois de 2021.

Alors que dans le cadre d’attaques de ransomware régulières, les données des victimes sont chiffrées, les attaques de Clop n’ont pas crypté un seul octet mais ont plutôt exfiltré de grandes quantités de données d’entreprises de premier plan qui utilisaient l’ancienne appliance de transfert de fichiers d’Accellion.

Le gang a utilisé les données volées comme levier pour extorquer les entreprises compromises avec des demandes de rançon élevées.

Clop a également affirmé avoir volé 2 millions de cartes de crédit sur les serveurs du détaillant coréen E-Land à l’aide de logiciels malveillants de point de vente avant de déployer un ransomware sur leur réseau un an plus tard, en Novembre 2020.

Dans le passé, le ransomware Clop était à l’origine d’attaques contre l’Université de Maastricht, Software AG IT, ExecuPharm et Indiabulls.

Le site de paiement Tor et le site de fuite de données de Clop sont toujours opérationnels, il semble donc que l’opération de ransomware Clop n’ait pas été complètement arrêtée pour le moment.

Laisser un commentaire