Cl0p fait son grand retour : le groupe de ransomware exploite de nouvelles failles
Après une année 2024 silencieuse, le groupe de ransomware Cl0p refait surface de manière spectaculaire en 2025. Le dernier rapport Threat Pulse du NCC Group indique un pic d’activité enregistré en février, un mois durant lequel le CI0p serait responsable de près de 40 % des attaques de ransomware. Cela représente 886 incidents contre 590 en janvier. Cette rapide progression reste inquiétante quant aux méthodes du groupe et du choix de leurs cibles.
Cl0p revient à ses habitudes : les services de transfert de fichiers dans le viseur
Connu pour ses nombreuses campagnes visant les solutions MOVEit et GoAnywhere en 2023, Cl0p continue d’exploiter des failles critiques d’outils de transfert de fichiers largement utilisés dans les infrastructures IT. Cette fois-ci , ce sont les logiciels Cleo Harmony, VLTrader et LexiCom qui ont été visés via deux vulnérabilités zero-day : CVE-2024-50623 et CVE-2024-55956.
La première faille permet le téléchargement de fichiers malveillants pour l’exécution de code à distance. La seconde faille permet l’exécution des commandes Bash ou PowerShell sans authentification. Ces vulnérabilités ont été exploitées dès Décembre 2024, malgré la publication de correctifs. Plus grave encore, les chercheurs de Huntress ont démontré que les versions patchées restent néanmoins vulnérables à d’autres voies d’exploitation.
Publication de données : nouveaux piratages ou recyclage d’anciennes intrusions ?
Un doute subsiste encore quant à la véracité des données récemment publiées par CIOp. Depuis Janvier, plusieurs dizaines d’entreprises ont vu leur nom apparaître sur le site du groupe, dans le dark web. Parmi elles, il y a Sam’s Club, Western Alliance Bank ou encore Hertz. Si certains groupes ont confirmé en être la victime du CIOp, d’autres, comme Hertz, contestent fermement avoir été compromis.
Cl0p, de son côté, prétend entrer en contact avec les victimes pour négocier. En l’absence de réponse, les données sont publiées. Mais rien ne permet d’affirmer avec certitude que toutes ces intrusions sont récentes. Le groupe pourrait aussi recycler d’anciennes données issues de précédentes campagnes, stratégie qui lui permettrait de maintenir la pression et une visibilité médiatique.
Le ransomware devient un outil d’extorsion silencieuse
À la différence d’autres ransomwares comme RansomHub ou Akira, Cl0p n’a pas recours au chiffrement systématique des systèmes. Sa stratégie s’oriente désormais vers la fuite massive de données sensibles, suivie de menaces publiques.
Contrairement aux attaques traditionnelles, le vol de données suivi de menaces de divulgation permet aux cybercriminels d’exercer une pression sur les victimes sans d’emblée paralyser leur activités. Cela permet de retarder l’identification de l’attaque et d’augmenter les chances de réussir les négociations. Cette approche permet aussi au groupe d’élargir ses cibles à des entreprises moins préparées.
Quelles protections disponibles ? Des correctifs insuffisamment appliqués
Les ingénieurs de l’entreprise Cleo ont publié des correctifs dès Décembre 2024, et le CISA a ajouté la faille critique à son référentiel KEV. Pourtant, de nombreuses entreprises n’ont pas encore appliqué ces mises à jour, par méconnaissance, négligence ou contraintes opérationnelles.
En Octobre 2023, le groupe de ransomware Cl0p a exploité une vulnérabilité critique dans les logiciels SysAid, ciblant des entreprises du monde entier. Cette faille, réapparue récemment, rappelle l’urgence pour les organisations de maintenir leurs systèmes à jour, particulièrement ceux dédiés au support IT ou au transfert de données sensibles.
Comment Synetis agit pour lutter contre la menace Cl0p
Face à l’évolution des menaces du CI0p, par des techniques d’exfiltration de données et de demandes de rançon, notre entreprise possède une approche minutieuse. Cette technique est composée de plusieurs axes qui nous aideront à lutter contrer les menaces du CI0p :
1) Sensibilisation et anticipation
Avant toute intervention technique face à la menace Cl0p, nous priorisons la mise en place d’une gouvernance d’une forte sécurité. Elle repose sur des politiques organisationnelles, la gestion proactive des risques liés aux transferts de fichiers et la réalisation régulière d’audits.
Parallèlement à cela, une formation ciblée des équipes IT et métiers sur les risques spécifiques à Cl0p et les méthodes d’extorsion modernes est essentielle. Cette sensibilisation vise à intégrer durablement les bonnes pratiques (gestion des correctifs, segmentation réseau, audits) au sein des opérations quotidiennes, cultivant ainsi une culture de sécurité partagée et proactive.
2) Surveillance proactive des services vulnérables
Dans un second temps, nous mettons en œuvre une surveillance proactive des services critiques de votre infrastructure. Nos auditeurs s’appuient sur des outils de scan avancés et une veille informationnelle enrichie par des bases de données de vulnérabilités reconnues (CVEs, KEV de la CISA) pour identifier rapidement les systèmes non patchés et les expositions potentielles qui pourraient être ciblées par Cl0p. Cette démarche de détection précoce est importante pour prévenir toute tentative d’intrusion.
3) Accompagnement à la remédiation et à la réponse à incident
En cas de compromission, nos équipes CERT sont en mesure d’intervenir rapidement. Leur rôle est de mener des analyses forensiques, gérer la crise en cours et d’appliquer des contre-mesures pour limiter les impacts opérationnels et médiatiques. Le tout dans une optique de durcissement progressif du système pour éviter les récidives.
4) Simulations d’attaque et tests de résilience
Pour sécuriser votre système d’information face aux menaces, comme le groupe de ransomware Cl0p, les auditeurs de Synetis peuvent mener une variété d’exercices. Là où les tests d’intrusion permettent d’identifier l’exposition de votre système d’information à des attaques génériques, les opérations de Red Team permettent de simuler le comportement d’un acteur malveillant spécifique. Ces simulations sont réalisées sur une période plus longue que les tests d’intrusion et s’inspirent de scénarios d’attaque réalistes de groupes de ransomware existants.
La Red Team cible les Tactiques, Techniques et Procédures (TTPs) connues de Cl0p. Elle se concentre sur leur exploitation des logiciels de transfert de fichiers (MFT). Cela implique de chercher des vulnérabilités similaires à celles exploitées par le passé. Par exemple, la faille CVE-2023-0669 de GoAnywhere MFT ou la zero-day CVE-2023-34362 de MOVEit Transfer, massivement utilisées par Cl0p en 2023.
L’objectif n’est pas seulement d’identifier des vulnérabilités. Il s’agit aussi de tester toute la chaîne de défense : prévention (pare-feux, EDR), détection (SOC) et procédures d’intervention. La progression de la Red Team est évaluée par la compromission de trophées. Ce sont des objectifs pré-établis, comme l’accès à des données critiques, l’obtention de privilèges d’administration ou le déploiement simulé d’un rançongiciel.
Un exercice de Red Team valide l’efficacité des correctifs. Il permet aussi de découvrir des angles morts ou des faiblesses inattendues. Cela inclut les chemins d’attaque non anticipés par les défenses existantes. Vous obtenez ainsi une vision plus réaliste de votre niveau de risque.
