Cl0p infiltre South Staffordshire Water 2 ans : amende ICO de £963 900

Mon, 25 May 2026 00:00:00 +0000

🏛️ Contexte

Publié le 23 mai 2026 sur le blog BushidoToken, cet article constitue un post-mortem détaillé d’un incident majeur affectant une infrastructure critique britannique. Le 11 mai 2026, l’Information Commissioner’s Office (ICO) a prononcé une amende de £963 900 à l’encontre de South Staffordshire Water à la suite d’une intrusion du groupe Cl0p.

🎯 Déroulement de l’attaque

Septembre 2020 : accès initial via un email de phishing malveillant téléchargeant le malware Get2Loader et le backdoor SDBBOT pour établir la persistance
Juillet 2022 : découverte de la compromission par le personnel suite à des ralentissements des performances IT
Août 2022 : publication de 4,1 téraoctets de données sur le site Tor de Cl0p, exposant les données personnelles de 633 887 clients et employés
Durée de présence non détectée : près de deux ans

🔓 Défaillances systémiques identifiées par l’ICO

Le SOC externalisé était aveugle à 95 % du réseau
Zéro scan de vulnérabilité interne ou externe sur une fenêtre de 18 mois
Utilisation de machines Windows Server 2003 hors support étendu
Deux contrôleurs de domaine non patchés contre ZeroLogon (CVE-2020-1472)

🧰 Techniques et outils utilisés

Cl0p a exploité des techniques classiques sans recours à des zero-days ou à des capacités étatiques : phishing, déploiement de loader et backdoor, puis exploitation de CVE-2020-1472 pour le mouvement latéral et l’escalade de privilèges vers Domain Admin.

CVE-2020-1472 on CyberVeille

Cl0p infiltre South Staffordshire Water 2 ans : amende ICO de £963 900

🏛️ Contexte

🎯 Déroulement de l’attaque

🔓 Défaillances systémiques identifiées par l’ICO

🧰 Techniques et outils utilisés