Plusieurs membres du groupe de ransomware Clop arrêtés en Ukraine
Une opération de police conjointe, impliquant les forces de police ukrainienne, coréennes et américaines, a permis aujourd’hui l’arrestation de six personnes suspectées d’être à l’origine du ransomware Clop. La police ne précise pas le rôle des personnes interpellées dans le groupe. La police ukrainienne a diffusé une vidéo montrant les différentes interpellations et saisies opérées dans le cadre de cette opération.
Le groupe à l’origine du ransomware Clop est connu pour son implication dans de nombreuses attaques depuis le début de l’année 2019. L’Anssi avait identifié cet acteur et avait publié un rapport à son sujet en 2019. Une variante du ransomware Clop est suspectée d’avoir été utilisée dans l’attaque ayant visé le CHU de Rouen au mois de novembre 2019. « En 2021, les accusés ont attaqué et chiffré les données personnelles des employés et les rapports financiers de la Stanford University Medical School, de l’Université du Maryland et de l’Université de Californie », précise le communiqué de la police ukrainienne.
Selon Bleeping Computer, le groupe était egalement impliqué dans plusieurs incidents liés à l’exploitation de failles dans Accellion File Transfer Appliance : dans ces cas de figure, les membres du groupe ne cherchaient pas à chiffrer les données mais simplement à les voler, en exigeant une rançon pour eviter la publication de celles ci sur son site. Selon la police ukrainienne, les dommages causés par le groupe sont estimés à 500 millions de dollars.
Clop de fin ?
Le groupe se spécialisait depuis dans les cibles à haut profil et pratiquait, comme d’autres groupes du même acabit, la technique de la double extorsion consistant à chiffrer le système informatique de ses cibles tout en volant des informations afin de forcer les victimes à payer les rançons.
L’enquête ayant permis les arrestations trouve néanmoins son origine en Corée du Sud, selon The Record : en 2019, quatre entreprises coréennes ont été victimes du ransomware, qui a chiffré leurs systèmes avant d’exiger le paiement de rançon pour livrer les clefs de déchiffrement. Une nouvelle victime coréenne en 2020 aurait accéléré les investigations selon une source proche du dossier, citée par The Record.
La police ukrainienne indique que les suspects encourent des peines de prison pouvant aller jusqu’à 8 ans de prison s’ils étaient reconnus coupables. La police indique également avoir saisi l’infrastructure informatique du groupe, bien que le site utilisé par le groupe Clop pour diffuser les données volées à ses victimes soit aujourd’hui encore en ligne.
