Barracuda full logo

Ransomware Cl0p : l’envahisseur rusé qui mord pendant votre sommeil

Thèmes:
16 mai 2025
|
Christine Barry

Le ransomware Cl0p est une opération privée gérée par un groupe organisé de cybercriminels connu sous le nom de TA505. L’opération Cl0p n’est que l’une des nombreuses unités de l’entreprise criminelle TA505, et elle est considérée comme la plus rentable. Depuis son apparition en 2019, Cl0p a extorqué plus de 500 millions de dollars sous forme de paiements de rançons et a directement touché des milliers d’organisations et des dizaines de millions de personnes dans le monde. Au dernier trimestre 2024, Cl0p a devancé Akira et a dépassé RansomHub pour devenir le groupe de ransomware le plus actif du paysage cybercriminel. Au premier trimestre 2025, Cl0p a dépassé LockBit en tant que groupe de ransomware le plus prolifique, sur la base de violations révélées publiquement.

Les chercheurs croient que le nom de leur marque provient du mot russe « клоп », ou « klop », qui se traduit par « punaise de lit ». Comme Rhysida, Medusa et BianLian, le nom est probablement destiné à véhiculer les caractéristiques adoptées par le groupe. Selon la plupart des analystes, la punaise de lit, une petite créature puissante (et répugnante), est censée représenter la furtivité et la persistance.

Cl0p s’écrit aussi parfois Clop ou CLOP, mais le groupe utilise souvent une graphie avec un zéro (0) à la place de la lettre « o ». Il s’agit d’une tactique d’évasion à l’ancienne pour contourner les filtres de mots-clés qui ne reconnaîtraient pas les similitudes entre Clop et Cl0p. Il s’agit également d’un clin d’œil à la pratique des hackers qui consiste à remplacer les lettres par des chiffres et des symboles. Le groupe ne semble cependant pas très attaché à cette idée, car il a aussi utilisé les termes CLOP^_, Clop et C|0p dans ses demandes de rançon. 

 

Extrait de la note de rançon Cl0p utilisant le style « CLOP »

Extrait de la demande de rançon de Cl0p utilisant le style « CLOP », via CISA

Extrait de la demande de rançon de Cl0p utilisant le style CLOP^_

Extrait de la demande de rançon de Cl0p utilisant le style CLOP^_ , via Bleeping Computer

Qui est Cl0p ?

Pour répondre à cette question, nous commençons par l’entreprise cybercriminelle connue sous le nom de TA505. Il s’agit d’un groupe russophone actif depuis 2014, menant des attaques avec plusieurs familles de malwares, notamment Dridex et Locky. Outre Cl0p, les activités criminelles de TA505 comprennent le courtage d’accès initial (IAB), l’hameçonnage et la distribution de malspam à grande échelle, la fraude financière et les opérations de botnet à grande échelle.

La souche de ransomware Cl0p est apparue en 2019 et est supposée avoir évolué à partir des ransomwares CrypBoss et CryptoMix. Ces deux souches sont apparues en 2015 et 2016 et ont disparu en 2018. Certains chercheurs pensent que Cl0p est le successeur direct de CryptoMix, mais il semble plus probable que les opérateurs précédents se soient divisés en plusieurs groupes RaaS différents. Quelle que soit son origine, le ransomware Cl0p a survécu et s’est adapté, et est désormais considéré comme le « fleuron » des opérations de TA505. Il s’agit de l’outil d’attaque le plus connu de son arsenal, et il démontre la sophistication technique du groupe et l’adaptabilité de ses méthodes d’attaque. Cl0p a infligé des dégâts importants à travers le monde grâce à ses attaques très médiatisées sur la chaîne logistique.

Des chercheurs situent les ransomwares TA505 et Cl0p en Russie ou dans la Communauté des États indépendants (CEI). Le ransomware Cl0p est spécifiquement programmé pour ne pas s’exécuter sur les systèmes en langue russe, et les communications et commentaires du groupe contiennent des éléments en langue russe et des références culturelles russes. Les serveurs de commande et de contrôle ainsi que les éléments de l’infrastructure de paiement ont été localisés en Russie et en Europe de l’Est.

Les pirates de Cl0p évitent également d’attaquer des organisations ciblées en Russie et dans les anciens États soviétiques, et il a été observé que leurs modèles d’activité correspondaient aux heures de bureau des fuseaux horaires d’Europe de l’Est.

Malgré leur probable origine russe, les acteurs de Cl0p précisent qu’ils ne sont pas des hacktivistes et qu’ils ne sont affiliés à aucun État-nation. 

 

Les acteurs de Cl0p publient une déclaration niant toute implication dans la politique

Les acteurs de Cl0p publient une déclaration niant toute implication dans la politique, via SOCRadar

Les demandes de rançon de Cl0p peuvent également mettre en lumière la motivation financière du groupe : 

« Nous ne voulons pas rendre cette affaire publique ou diffuser vos informations confidentielles : l’argent est notre unique motivation.

Nous ne sommes pas intéressés par les discours politiques, mais seulement par l’argent, et seul l’argent mettra un terme à cette situation. » ~via Ransomware.Live

Compte tenu de ces déclarations et de l’absence de preuves du contraire, les chercheurs estiment que Cl0p est motivé par le gain financier et n’a aucun objectif politique.

Opérations Cl0p

Cl0p est une opération de ransomware privée avec une équipe principale qui gère la majorité des aspects de leurs campagnes. Dans la plupart des attaques majeures, en particulier celles impliquant des vulnérabilités zero-day, l’équipe principale de TA505 garde le contrôle de bout en bout. Pour certaines opérations, Cl0p a utilisé de manière sélective un modèle d’affiliation, où des partenaires de confiance ont un accès limité à leur code de ransomware en échange d’un pourcentage du produit de la rançon. Cela peut être le cas lorsque Cl0p / TA505 prépare une opération ciblée et nécessite un renfort de main-d’œuvre pour l’exécuter efficacement.

Cette approche flexible place Cl0p à mi-chemin entre les opérations de type Ransomware-as-a-Service (RaaS), qui s’appuient sur des affiliés, et les groupes privés de ransomware qui fonctionnent exclusivement en équipes fermées. Certains chercheurs et analystes du secteur considèrent Cl0p comme une opération RaaS, car Cl0p fait appel à des affiliés selon les besoins.

Cl0p se distingue également pour plusieurs autres raisons. Le groupe est spécialisé dans l’exploitation de vulnérabilités zero-day jusque-là inconnues, qu’il a déployées avec succès lors de plusieurs attaques contre la chaîne logistique. Le groupe utilise des tactiques d’extorsion agressives, notamment le chiffrement, l’exfiltration de données, les attaques par déni de service distribué (DDoS) et le harcèlement des parties prenantes. Ce harcèlement consiste à contacter les médias, ainsi que les employés, les clients et les partenaires concernés pour faire pression sur l’entreprise victime de la violation et l’inciter à payer.

Comment fonctionne Cl0p ?

Les principales méthodes de distribution et d’infection de Cl0p ont évolué, passant d’attaques par hameçonnage sophistiquées à des exploits zero-day avancés. Les campagnes d’hameçonnage ont utilisé des pièces jointes malveillantes, des liens vers des sites compromis, ainsi qu’un large éventail de techniques de social engineering. Cl0p est connu pour utiliser des données volées à des victimes existantes afin de créer un message convaincant et un appel à l’action. Cela rend ses attaques plus efficaces contre les partenaires, les clients, les fournisseurs et d’autres personnes susceptibles d’offrir une voie d’accès au réseau de la cible.

Au début de ses activités, Cl0p s’appuyait sur des campagnes d’hameçonnage utilisant des fichiers Microsoft Excel et Word contenant des macros. Ces documents étaient transmis par le biais d’une pièce jointe HTML qui redirigeait l’utilisateur vers les documents, ou ils étaient directement joints au message. 

 

Un premier e-mail d’hameçonnage de Cl0p avec un document contenant des macros

Un premier e-mail d’hameçonnage de Cl0p avec un document contenant des macros, via Bleeping Computer

Sur les appareils avec macros activées, le document a téléchargé les outils suivants depuis un serveur contrôlé par Cl0p :

  • Get2 : un chargeur de malware, un téléchargeur ou un « malware de première phase ». L’objectif principal de Get2 est de télécharger et d’exécuter d’autres logiciels malveillants sur le serveur d’une victime.
  • SDBot : il s’agit d’une famille de chevaux de Troie à porte dérobée utilisés pour l’accès à distance et le mouvement latéral. Microsoft fournit des détails sur les variantes dérivées ici.
  • FlawedAmmyy RAT : un cheval de Troie d’accès à distance (RAT) utilisé pour le vol de données et l’exécution de commandes.
  • ServHelper : une famille de malwares qui facilite l’accès à distance et les capacités de porte dérobée.  Elle permet également de collecter des identifiants et d’établir la persistance de la menace dans le système.

Cl0p utilise également des courtiers d’accès initial (Initial Access Brokers - IAB) pour accéder aux organisations ciblées.

Cl0p fait fortune avec les vulnérabilités zero-day

Bien que Cl0p continue de mener des attaques par hameçonnage, l’attaque zero-day est devenue la tactique caractéristique du groupe. De nombreux groupes de ransomware exploitent des vulnérabilités connues sur des systèmes non corrigés. Cl0p a développé et déployé à plusieurs reprises des exploits contre des vulnérabilités inconnues jusqu’alors. Voici les plus importants :

Accellion FTA (décembre 2020) : cette appliance de transfert de fichiers arrivait en fin de vie lorsque plusieurs vulnérabilités ont été identifiées et exploitées par Cl0p. L’attaque a été lancée le 23 décembre, juste avant les vacances de Noël aux États-Unis. Le groupe a eu accès à une centaine d’organisations qui ont utilisé Accellion FTA. Vulnérabilités : CVE-2021-27101/27102/27103/27104

GoAnywhere MFT (janvier 2023) : la solution Managed File Transfer de Fortra a fait l’objet d’une exploitation active pendant deux semaines avant que le fournisseur ne se rende compte de la faille. Cl0p a pu accéder à plus de 130 entreprises grâce à cet exploit. Vulnérabilité : CVE-2023-0669

 

Note de rançon Cl0p faisant référence au logiciel GoAnywhere MFT

Demande de rançon de Cl0p faisant référence au logiciel GoAnywhere MFT, via CISA

MOVEit Transfer (mai 2023) : Cl0p a exploité un autre fournisseur de services de transfert de fichiers fin mai 2023, pendant le Memorial Day (jour férié aux États-Unis). La vulnérabilité existait à la fois dans les versions cloud et sur site de MOVEit, et Cl0p a pu accéder à des milliers d’entreprises, touchant ainsi des millions de personnes.  Un schéma de cette attaque de la chaîne logistique est disponible ici. Vulnérabilité : CVE-2023-34362

 

Publication sur le site de fuite de Cl0p faisant référence au logiciel Progress MOVEit

Un post sur le site de fuite de Cl0p faisant référence au logiciel Progress MOVEit, via ZeroFox Intelligence

Cleo Software (2024-2025) : Cl0p exploite activement deux vulnérabilités dans trois produits de Cleo Software :

  • Cleo LexiCom : un client de bureau pour les transferts de fichiers sécurisés, normalement utilisé pour échanger des documents sensibles avec des fournisseurs, des clients et d’autres partenaires commerciaux.
  • Cleo VLTrader : un logiciel de transfert de fichiers gérés (MFT) basé sur un serveur qui prend en charge plusieurs protocoles pour des flux de travail automatisés.
  • Cleo Harmony : une plateforme d’entreprise qui s’intègre aux solutions de planification des ressources d’entreprise (ERP) telles que SAP et Salesforce.

Les deux vulnérabilités ont été exploitées pour créer des portes dérobées et voler des données aux clients de Cleo. Cette attaque est toujours en cours en mai 2025. Vulnérabilités : CVE-2024- 50623 /55956.

 

Extrait de la note de rançon de Cl0p faisant référence à Cleo Software

Extrait de la demande de rançon de Cl0p faisant référence à Cleo Software, Ransomware.Live

Ces quatre attaques contre les chaînes logistiques ont permis à Cl0p d’accéder à des milliers de victimes, et la rapidité de chaque attaque était cruciale. La plupart des fournisseurs ont rapidement publié un correctif et communiqué avec les clients, réduisant ainsi la marge de manœuvre de Cl0p d’heure en heure. Au lieu de prendre le temps de chiffrer les données, Cl0p s’est concentré sur le vol de données et a utilisé cette méthode et parfois d’autres types d’extorsions.

La rapidité étant primordiale dans ces attaques, Cl0p s’est tourné vers ses affiliés pour qu’ils l’aident à exfiltrer des données, et c’est là que le modèle hybride RaaS entre en jeu. Le noyau dur de Cl0p ne disposait pas des ressources nécessaires pour cibler immédiatement toutes les victimes potentielles, et les affiliés peuvent fournir un pourcentage de rançons provenant d’un plus grand nombre de victimes. 

Les chercheurs ont également observé des tendances dans le calendrier des attaques de Cl0p. Les e-mails d’hameçonnage sont envoyés pendant les heures de bureau habituelles dans la région ciblée, afin de piéger un maximum de victimes pendant qu’elles sont au travail. Cl0p s’attaque aux vulnérabilités en dehors des heures de bureau ou pendant les longues vacances, lorsque le personnel informatique est réduit ou indisponible.

Au-delà de l’accès initial, la chaîne d’attaque de Cl0p se déroule comme suit :

  • Mouvement latéral : Cl0p explore le réseau avec des outils tels que Mimikatz, PsExec et Cobalt Strike.   
  • Évasion et persistance : Cl0p désactive Windows Defender et les processus de backup et utilise l’obscurcissement du code pour dissimuler les indicateurs d’intentions malveillantes.
  • Exfiltration de données : vol des données sensibles à l’aide d’outils personnalisés tels que l’outil d’exfiltration Teleport.
  • Chiffrement : si les fichiers sont chiffrés, ils sont renommés avec les extensions clop, CIIp, C_L_O_P ou une variante similaire.

 

Fichiers chiffrés par Cl0p sur un bureau

Fichiers chiffrés par Cl0p sur un bureau, via HowToRemove.Guide.

Les demandes de rançon sont généralement nommées « CL0PReadme.txt » ou « README_README.txt ». Les informations sur les victimes sont ensuite publiées sur le site de divulgation de fuites de Cl0p.

 

Site de fuite Cl0p

Site de divulgation de fuites de Cl0p, via Bleeping Computer

Lorsqu’il n’y a pas de chiffrement, Cl0p s’appuie sur une ou plusieurs tactiques d’extorsion. Il peut s’agir de fuites de données, d’attaques DDoS ou de harcèlement des victimes. En cas d’échec des négociations de rançon, Cl0p met les données à disposition en téléchargement.

 

Cl0p divulgue des données d’ExecuPharm via son site de divulgation de fuites

Cl0p divulgue des données d'ExecuPharm via son site de fuite, via Bleeping Computer

Cl0p se classe systématiquement parmi les ransomwares les plus redoutables et les plus adaptatifs du paysage numérique. Ce groupe possède suffisamment de capacités techniques pour déployer rapidement des exploits et étendre les opérations selon les besoins. Il fait également partie d’un groupe plus large, TA505, qui mène diverses opérations de cybercriminalité activables à la demande. La résilience, l’innovation technique et l’accès à de nombreuses ressources font de Cl0p une menace sérieuse pour toutes les entreprises.

Protégez-vous

Le respect des bonnes pratiques et l’utilisation de plusieurs niveaux de sécurité atténueront les risques. Faites preuve de vigilance et appliquez rapidement les correctifs de sécurité, surtout pour les solutions de transfert de fichiers et autres logiciels de la chaîne logistique. Des solutions comme Barracuda Managed XDR peuvent détecter ces attaques et empêcher le chiffrement et le vol de vos données.

 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Bulk remediation for MSPs: Protect every customer with a single action
Bulk remediation for MSPs: Protect every customer with a single action
Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365
Threat Spotlight : décryptage d’un kit d’hameçonnage furtif ciblant Microsoft 365
 BarracudaONE supercharges MSP operations with new capabilities
BarracudaONE supercharges MSP operations with new capabilities
 Au-delà du MITM : le danger croissant des attaques de l’adversaire au milieu
Au-delà du MITM : le danger croissant des attaques de l’adversaire au milieu
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.