Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel Clop contre Software AG

Le gang du rançongiciel Clop a piraté le géant allemand des logiciels d'entreprise Software AG, exigé une rançon de 23 millions de dollars, mis hors ligne les systèmes internes et divulgué plus d'un téraoctet de données volées de l'entreprise et de ses employés après l'échec des négociations.

Victime
Software AG
SecteurTechnologie
PaysAllemagne
GroupeClop
Attaquants nommésGroupe de rançongiciel Clop (Cl0p) / TA505

Début octobre 2020, le gang du rançongiciel Clop (Cl0p) a piraté Software AG, le géant des logiciels d'entreprise basé à Darmstadt et l'une des plus grandes sociétés de logiciels d'Allemagne, dans une attaque à double extorsion combinant vol de données et l'une des plus importantes demandes de rançon publiquement rapportées à l'époque : environ 23 millions de dollars.

Ce qui s'est passé

Les attaquants ont compromis le réseau interne de Software AG le 3 octobre 2020, déployant le rançongiciel Clop pour chiffrer les systèmes après avoir déjà exfiltré de grands volumes de données. Software AG — qui compte plus de 5 000 employés et des activités dans plus de 70 pays — a été contrainte de fermer ses systèmes internes pour limiter la propagation.

Le 5 octobre, l'entreprise a publiquement révélé l'« attaque par maliciel », soulignant que ses services cloud destinés aux clients n'étaient pas affectés et que la perturbation se limitait à son réseau interne d'entreprise.

La rançon et la fuite

La note de rançon exigeait environ 23 millions de dollars — soit environ 2 083 bitcoins à l'époque — en échange d'une clé de déchiffrement et d'une promesse de ne pas publier les données volées. Software AG n'a pas payé. Lorsque les négociations ont échoué, Clop a mis sa menace d'extorsion à exécution, publiant des captures d'écran de documents sensibles sur son site de fuite du dark web.

Le butin volé était considérable : des dizaines de gigaoctets représentant plus d'un million de fichiers, dont des copies de passeports d'employés, des courriels internes et des documents financiers tels que des factures. Certains rapports évaluaient le total des données exposées à plus d'un téraoctet.

Attribution

Clop est exploité par un groupe de cybercriminalité à motivation financière associé au cluster de menaces plus large TA505, connu pour cibler des entreprises à forte valeur et pour avoir été pionnier de la double extorsion — voler des données avant le chiffrement pour faire pression sur des victimes qui pourraient autrement restaurer à partir de sauvegardes.

Pourquoi c'est important

L'attaque de Software AG fut un exemple précoce et très médiatisé de rançongiciel à double extorsion contre un grand éditeur de logiciels européen, démontrant que même une société logicielle sophistiquée pouvait voir son réseau interne paralysé. Le choix de ne pas payer, suivi de la divulgation publique des données par Clop, a illustré le dilemme central du rançongiciel moderne : refuser la rançon évite de financer les criminels mais n'empêche pas le préjudice réputationnel et de confidentialité d'une fuite publique. C'est devenu un point de référence dans les discussions européennes sur la résilience face aux rançongiciels, la stratégie de sauvegarde et la divulgation des violations — et un présage des campagnes ultérieures d'exploitation massive de Clop contre des outils de transfert de fichiers gérés comme MOVEit et Accellion.

Chronologie

  1. Le gang du rançongiciel Clop compromet le réseau interne de Software AG et commence à chiffrer les systèmes.

  2. Software AG révèle une attaque par maliciel, précisant que les services cloud des clients restent intacts tandis que les systèmes internes sont perturbés.

  3. Une note de rançon exige environ 23 millions de dollars (environ 2 083 BTC) pour une clé de déchiffrement.

  4. Les négociations échouent ; Clop publie des captures d'écran de passeports, de factures et de documents internes volés sur son site de fuite du dark web.

  5. Plus d'un téraoctet de données — plus d'un million de fichiers, dont des dossiers d'employés et financiers — est exposé.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/software-ag-it-giant-hit-with-23-million-ransom-by-clop-ransomware/
  2. securityweek.comhttps://www.securityweek.com/enterprise-solutions-provider-software-ag-hit-clop-ransomware/
  3. threatpost.comhttps://threatpost.com/software-ag-data-clop-ransomware/160042/
  4. cpomagazine.comhttps://www.cpomagazine.com/cyber-security/clop-ransomware-attack-hits-german-software-giant-software-ag-confidential-documents-stolen-23-million-ransom-demanded/

Incidents liés

RançongicielRançon payée

Rançongiciel Clop à l'Université de Maastricht (Pays-Bas, 2019)

TA505 a utilisé le rançongiciel Clop pour chiffrer 267 serveurs de l'Université de Maastricht pendant les fêtes de Noël 2019, après que deux courriels d'hameçonnage envoyés les 15 et 16 octobre eurent compromis le réseau. L'université a payé 30 BTC (~220 000 $). La rançon en Bitcoin — saisie par la suite auprès d'une mule financière — a été restituée et avait pris de la valeur, laissant l'université avec un gain net d'environ 300 000 $.

Victim
Maastricht University
Loss
$220.0K
RançongicielContenu

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim
Foxconn (Hon Hai Precision Industry)