Le gang du ransomware cl0p fait de nouvelles victimes suite à son piratage du protocole de transfert de fichiers MOVEit. Mardi, il s'est attribué le mérite d'avoir volé les données de l'Université de Californie à Los Angeles, de Siemens Energy, d'Abbvie Inc et de Schneider Electric, entre autres.

Selon Brett Callow, dont la société de cybersécurité Emsisoft aide les entreprises à répondre aux tentatives d'extorsion numérique, le nombre total de victimes récentes du réseau d'extorsion en ligne s'élève à 121 organisations. Selon lui, au moins 15 millions de personnes ont été touchées.

Voici ce que l'on sait de cl0p et de son récent déchaînement.

Qui sont les pirates ?

L'identité et la localisation de Cl0p ne sont pas connues du public. Mais les chercheurs en sécurité affirment que le groupe est lié à la Russie ou russophone et que son nom pourrait être un jeu de mots sur le mot russe pour "bug". En 2021, les autorités ukrainiennes ont annoncé l'arrestation de six personnes liées à Cl0p, mais il n'est pas certain qu'il s'agisse des principaux membres du groupe, qui a continué à pirater des victimes.

Cl0p est un gang de ransomware en tant que service, ce qui signifie qu'il loue son logiciel et son infrastructure à d'autres cybercriminels en échange d'une part des recettes.

Le groupe a été l'un des pionniers de la pratique de la double extorsion, qui consiste pour les cybercriminels à prendre en otage des fichiers en les chiffrant, puis à menacer de les divulguer en ligne si aucun paiement n'est effectué. L'entreprise japonaise de cybersécurité TrendMicro a décrit le cl0p comme "un précurseur en raison de ses tactiques en constante évolution".

Les pirates, qui orthographient parfois leur nom "CLOP", n'ont pas répondu immédiatement à un courriel demandant un commentaire.

Comment ont-ils fait autant de victimes ?

Cl0p a su tirer parti d'une faille non encore découverte dans un programme de transfert de fichiers très répandu - MOVEit Transfer - pour voler des données à un grand nombre d'organisations, dont certaines manipulaient à leur tour des données appartenant à d'autres organisations encore.

Le pillage des protocoles de transfert de fichiers est devenu de plus en plus populaire à mesure que les pirates passent du chiffrement des données au simple vol de fichiers et menacent de les relâcher si une rançon n'est pas payée.

Si une victime ne paie pas, cl0p publie son identité sur son site darknet - une tactique de dénonciation qui a été mise en œuvre au cours des dernières semaines.

Qui a été touché ?

Parmi les victimes revendiquées publiquement figurent la société de divertissement Sony, les grands cabinets comptables EY et PWC, le géant de l'énergie Shell PLC et le principal fonds de pension américain Calpers.

Des administrations publiques, dont le département américain de l'énergie et l'autorité britannique de régulation des télécommunications, ont également été touchées.

De nombreuses organisations soulignent que la cible du piratage est le service de transfert de fichiers, et non leurs systèmes. Mais le fait que leurs données aient été volées n'est guère rassurant pour les citoyens, les employés, les clients et les partenaires commerciaux dont les informations ont été compromises.

C'est en se basant sur les divulgations publiques que Brett Callow, d'Emsisoft, a avancé le chiffre de 15 millions de personnes touchées. Mais il a déclaré que le chiffre réel était "probablement beaucoup plus élevé - et peut-être même beaucoup, beaucoup plus élevé".

Que fait-on pour les arrêter ?

La nature étendue et souvent indirecte des compromissions a entraîné une avalanche de travail pour les professionnels de l'application de la loi et de la cybersécurité.

"Tout le monde est débordé", a déclaré Charles Carmakal, directeur de la technologie chez Mandiant, récemment racheté par Alphabet Inc. Dans un message adressé à LinkedIn, il a déclaré que même les pirates informatiques avaient du mal à faire face à la charge de travail.

"Les dernières semaines ont été intenses", a-t-il déclaré.

Le FBI a déclaré qu'il était "au courant de l'exploitation récente d'une vulnérabilité MOVEit par des acteurs malveillants de ransomware et qu'il enquêtait à ce sujet". Au début du mois, le gouvernement américain a annoncé une récompense de 10 millions de dollars pour toute information reliant cl0p - ou tout autre groupe de pirates informatiques ciblant les infrastructures critiques américaines - à des gouvernements étrangers. (Reportage de Raphael Satter ; reportages complémentaires de Christopher Bing à Washington et de James Pearson à Londres ; rédaction de Cynthia Osterman)