Rançongiciel Clop à l'Université de Maastricht (Pays-Bas, 2019)
TA505 a utilisé le rançongiciel Clop pour chiffrer 267 serveurs de l'Université de Maastricht pendant les fêtes de Noël 2019, après que deux courriels d'hameçonnage envoyés les 15 et 16 octobre eurent compromis le réseau. L'université a payé 30 BTC (~220 000 $). La rançon en Bitcoin — saisie par la suite auprès d'une mule financière — a été restituée et avait pris de la valeur, laissant l'université avec un gain net d'environ 300 000 $.
- Victime
- Maastricht University
- Perte
- $220.0K
En décembre 2019, l'Université de Maastricht aux Pays-Bas a subi une attaque par le rançongiciel Clop opérée par l'équipe TA505. Le chiffrement est intervenu à l'un des pires moments possibles — le 23 décembre, juste au moment où étudiants et personnel partaient pour Noël — et a mis hors service 267 serveurs, sauvegardes comprises. L'université a payé 30 BTC (~220 000 $) le 30 décembre pour rétablir ses opérations.
Ce qui s'est passé
L'intrusion a commencé modestement. Le 15 octobre 2019, deux courriels d'hameçonnage ont été envoyés au personnel de l'université ; l'un d'eux a été ouvert et TA505 disposait de son point d'ancrage. Au cours des cinq semaines suivantes, les attaquants se sont déplacés latéralement dans le réseau. Le 21 novembre, ils ont obtenu les droits administrateur sur un serveur non corrigé — un seul correctif manquant sur un seul hôte. Cette machine est devenue le pivot à partir duquel le rançongiciel Clop s'est propagé à 267 serveurs Windows, y compris l'infrastructure de sauvegarde.
La détection a eu lieu le 23 décembre. Fox-IT a été mobilisé pour la forensique. L'université a pesé deux options : payer la rançon ou reconstruire chaque système touché à partir de zéro, sans aucune garantie de délai. Après une semaine d'analyse, l'université a payé 30 BTC (~220 000 $) le 30 décembre.
L'affaire a connu une suite inhabituelle. La police néerlandaise a ensuite saisi une partie de la rançon en Bitcoin auprès d'une mule financière. Au moment où les fonds ont été restitués à l'université en juillet 2022, le Bitcoin avait suffisamment pris de valeur pour que l'université se retrouve avec environ 300 000 $ de plus que son paiement initial.
Impact
- 267 serveurs chiffrés, sauvegardes comprises.
- Environ 220 000 $ de rançon payée.
- Opérations rétablies quelques jours après le paiement.
- Cause racine : un unique serveur non corrigé.
- Suite inhabituelle : la police néerlandaise a saisi une partie des Bitcoins ; leur appréciation a laissé l'université avec un bénéfice net sur le paiement de la rançon.
Pourquoi cela compte
L'Université de Maastricht est un cas d'école de rançongiciel dans le secteur public : un unique hôte non corrigé a permis un déplacement latéral jusqu'aux serveurs de sauvegarde, supprimant l'option « restauration depuis sauvegarde ». Le rapport Fox-IT a été largement cité dans la planification de sécurité de l'enseignement supérieur européen. La suite « récupération de Bitcoin » — payer un criminel en Bitcoin et finir avec un gain — figure aussi parmi les dénouements les plus étranges de la cybercriminalité.
Impact financier
Coûts déclarés en USD
- Rançon payée$220.0K
Chronologie
Deux courriels d'hameçonnage parviennent au personnel de l'Université de Maastricht ; l'un d'eux est ouvert. TA505 obtient son accès initial.
Les attaquants se déplacent latéralement dans le réseau ; le 21 novembre, ils obtiennent les droits administrateur sur une machine non corrigée.
Le rançongiciel Clop chiffre 267 serveurs Windows de l'université, sauvegardes comprises.
Après avoir pesé les options, dont une reconstruction complète, Maastricht paie 30 BTC (~220 000 $).
Fox-IT publie son enquête : un unique serveur non corrigé a servi de point de pivot, permettant au logiciel malveillant de se propager aux 267 machines touchées.
Une partie de la rançon en Bitcoin — saisie auparavant par la police néerlandaise auprès d'une mule financière — est restituée à l'université. L'appréciation du Bitcoin fait que l'université se retrouve avec environ 300 000 $ de plus que le paiement initial.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/ta505-hackers-behind-maastricht-university-ransomware-attack/
- securityweek.comhttps://www.securityweek.com/netherlands-university-pays-240000-after-targeted-ransomware-attack/
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/maastricht-university-wound-up-earning-money-from-its-ransom-payment/
- fortune.comhttps://fortune.com/2022/07/06/university-of-maastricht-recovered-bitcoin-paid-in-ransomware-attackand-worth-510000-twice-value-at-time/
- grahamcluley.comhttps://grahamcluley.com/dutch-university-ransomware/