🏛️ Contexte

Publié le 23 mai 2026 sur le blog BushidoToken, cet article constitue un post-mortem détaillé d’un incident majeur affectant une infrastructure critique britannique. Le 11 mai 2026, l’Information Commissioner’s Office (ICO) a prononcé une amende de £963 900 à l’encontre de South Staffordshire Water à la suite d’une intrusion du groupe Cl0p.

🎯 Déroulement de l’attaque

  • Septembre 2020 : accès initial via un email de phishing malveillant téléchargeant le malware Get2Loader et le backdoor SDBBOT pour établir la persistance
  • Juillet 2022 : découverte de la compromission par le personnel suite à des ralentissements des performances IT
  • Août 2022 : publication de 4,1 téraoctets de données sur le site Tor de Cl0p, exposant les données personnelles de 633 887 clients et employés
  • Durée de présence non détectée : près de deux ans

🔓 Défaillances systémiques identifiées par l’ICO

  • Le SOC externalisé était aveugle à 95 % du réseau
  • Zéro scan de vulnérabilité interne ou externe sur une fenêtre de 18 mois
  • Utilisation de machines Windows Server 2003 hors support étendu
  • Deux contrôleurs de domaine non patchés contre ZeroLogon (CVE-2020-1472)

🧰 Techniques et outils utilisés

Cl0p a exploité des techniques classiques sans recours à des zero-days ou à des capacités étatiques : phishing, déploiement de loader et backdoor, puis exploitation de CVE-2020-1472 pour le mouvement latéral et l’escalade de privilèges vers Domain Admin.

📄 Nature de l’article

Cet article est un post-mortem analytique à visée CTI, combinant les conclusions de l’enquête ICO et un commentaire d’analyste, destiné à documenter les TTPs de Cl0p et les défaillances défensives observées dans une infrastructure critique britannique.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Cl0p (cybercriminal) —

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1547 — Boot or Logon Autostart Execution (Persistence)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1210 — Exploitation of Remote Services (Lateral Movement)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)

IOC

Malware / Outils

  • Get2Loader (loader)
  • SDBBOT (backdoor)

🟡 Indice de vérification factuelle : 41/100 (moyenne)

  • ⬜ blog.bushidotoken.net — source non référencée (0pts)
  • ✅ 3685 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Cl0p (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://blog.bushidotoken.net/2026/05/uk-cybercrime-journal-inside-cl0p.html