Le ransomware de Cl0p, tristement célèbre dans ce domaine, continue de frapper. Le groupe menace de révéler davantage de données si les rançons ne sont pas payées avant le 21 janvier.
Cette fois, le ransomware de CI0p s’attaque aux entreprises en exploitant une faille critique dans les logiciels Cleo. Un outil de transfert de fichiers largement utilisé. Cette vulnérabilité, connue sous le nom de CVE-2024-50623, leur a permis d’infiltrer au moins 66 organisations à travers le monde. Perte de données sensibles, perturbations dans des secteurs clés tels que la logistique et les chaînes d’approvisionnement. Les dommages sont nombreux.
Le ransomware de Cl0p, l’extorsion classique réinventée
Cl0p n’en est pas à son coup d’essai. Ce groupe de cybercriminels a déjà mené des attaques, comme celle impliquant le logiciel MOVEit en 2023. Leur méthode ? Exploiter des vulnérabilités critiques dans des logiciels très répandus pour accéder aux systèmes des entreprises.
Avec le ransomware, ils chiffrent les données volées et exigent une rançon pour leur restitution. Ce modèle d’extorsion multilevel repose sur des pressions continues. Refus de payer et les informations volées sont publiées sur le dark web.
La récente campagne cible les logiciels Cleo, notamment Harmony, VLTrader et LexiCom. Ces outils, utilisés pour échanger des fichiers, présentent une faille permettant l’exécution de code à distance sans authentification. Une attaque bien pensée qui touche des organisations manipulant des données particulièrement sensibles.
Une vulnérabilité exploitable malgré les correctifs
En octobre 2024, Cleo a publié un correctif pour combler cette faille. Pourtant, des chercheurs en cybersécurité ont rapidement constaté que ce correctif était insuffisant. Des systèmes restent ainsi exposés et des entreprises tardent à appliquer les mises à jour.
Cl0p en profite pour télécharger des fichiers malveillants qui s’exécutent automatiquement, offrant un accès non autorisé aux attaquants. Une mise à jour plus récente, la version 5.8.0.24, est disponible. Cependant, de nombreuses sociétés hésitent encore à l’implémenter. Ce retard laisse une fenêtre d’opportunité aux cybercriminels, rendant la menace persistante.
En effet, certaines entreprises victimes voient leurs activités paralysées, tandis que d’autres subissent une atteinte à leur réputation. Cl0p, en publiant partiellement les noms des organisations compromises, intensifie la pression psychologique. Le groupe menace de révéler davantage de données si les rançons ne sont pas payées avant le 21 janvier.
Une tendance inquiétante dans les attaques
Cl0p ne cible pas uniquement Cleo. Ce groupe exploite des failles zero-day dans des outils largement utilisés, comme Accellion ou GoAnywhere MFT. Ces attaques illustrent une tendance croissante : les ransomwares ciblent de plus en plus des systèmes critiques dans des entreprises mondialisées.
Face à ces menaces, une réponse proactive est essentielle. Appliquer les correctifs dès leur publication reste la meilleure défense contre les ransomwares. Cependant, la gestion des correctifs reste un défi pour certaines entreprises, notamment celles avec des infrastructures complexes. Les experts recommandent aussi de renforcer les systèmes avec des outils de détection d’intrusion et des sauvegardes régulières.
