I de senere år er cl0p-ransomware blevet en stor cybersikkerhedstrussel, der forårsager betydelige skader for en lang række organisationer og industrier over hele verden. Mens cl0p-virusangreb generelt fungerer på samme måde som andre ransomwareangreb, er der nogle specifikke forskelle.
Men hvad er cl0p-ransomware, og hvordan fungerer disse angreb? Og det er måske mere relevant at spørge om, hvad organisationer kan gøre for at minimere risikoen for at blive ofre for disse angreb, som kan have betydelige økonomiske konsekvenser?
Et kort historisk overblik over CL0P-ransomware
Cl0p – nogle gange skrevet som cl0p, med nultallet – er en type ransomware eller malware, der bruges til afpresning. Selvom det ikke er helt det samme som CryptoMix, menes cl0p-ransomware at være blevet baseret på denne malware, der går forud for den. Nu har trojaneren dog gennemgået flere versioner, og nye udgaver erstatter hurtigt de tidligere.
Sikkerhedseksperter opdagede Cl0p i februar 2019 efter et omfattende spear-phishingangreb. Det var – og er fortsat – en stor cybersikkerhedstrussel mod alle typer virksomheder og organisationer på grund af den måde, den beskadiger filer på ofrenes enheder og presser penge ud af ofrene. Det menes faktisk, at cl0p-ransomwaregruppen ved hjælp af deres specifikke malware har afpresset penge fra globale energikonglomerater, flere store universiteter, BBC, British Airways og forskellige offentlige myndigheder.
I 2020 udførte cl0p-ransomwaregruppen et angreb for at udnytte sårbarheder i Kiteworks' (tidligere Accellion) private indholdsnetværk for at målrette platformens klienter og infiltrere deres netværk – selvom clop-malwaren i sig selv ikke blev implementeret i dette angreb. Samtidig lancerede ophavsmændene til cl0p-trojaneren et dobbelt afpresningsangreb, der lækkede stjålne data fra en medicinalvirksomhed i et massivt destruktivt angreb.
Dette blev i 2021 efterfulgt af angreb på SolarWinds, et softwarefirma, der tilbyder IT-administration til forskellige virksomheder, og Swire Pacific Offshore, en Singapore-baseret udbyder af marinetjenester.
I 2023 steg Clops' aktivitet voldsomt i forhold til tidligere år. Fra januar til juni 2023 blev trojaneren brugt til at angribe ofre på tværs af forskellige brancher, med primær fokus på virksomhedsservice og derefter software- og finanssektorerne. Mange af ofrene var nordamerikanske og europæiske, hvor USA oplevede det klart højeste antal angreb.
Omfanget af angrebet var betydeligt, og over 2.000 organisationer rapporterede hændelser, der påvirkede mere end 62 millioner personer, hvis data blev lækket, især i USA.
Bølgen af ransomwareangreb fra Cl0p-gruppen via en svaghed i MOVEit-filoverførselstjenesten (CVE-2023-34362) nåede sit højdepunkt: angriberne hævdede at have brudt ind hos hundredvis af virksomheder og stillede et ultimatum indtil den 14. juni. Zero-day-sårbarheden tillod massedownload af organisationers data, herunder forskellige fortrolige oplysninger. De retshåndhævende myndigheder i USA besluttede at tilbyde en belønning på 10 millioner dollars for oplysninger om Cl0p.
Hvad er Cl0p?
Hvad er Cl0p så? En analyse af Cl0p-ransomware viser, at det er en variation af CryptoMix-ransomware. Ligesom den malware, den er baseret på, inficerer cl0p-virussen den udvalgte enhed. Men i dette tilfælde omdøber ransomwaren alle filer med filtypenavnet .cl0p, krypterer dem og gør dem ubrugelige.
For effektivt at udføre sine angreb overholder cl0p ransomware Win32 PE-formatet (Portable Executable) for eksekverbare filer. Det er afgørende, at eksperter har opdaget cl0p-viruseksekverbare filer med verificerede signaturer, som giver dem et legitimt udseende og sørge for, at malware undgår at blive opdaget af sikkerhedssoftware. Cl0p krypterer derefter filer med RS4-strømkrypteringscifferet og bruger derefter RSA 1024 til at kryptere RC4-nøglerne. Alle filer på en enhed er i fare ved denne type ransomwareinfektion, inklusive billeder, videoer, musik og dokumenter.
Efter kryptering af filerne udsteder cl0p-virussen en løsesum fra angriberen til offeret. Hvis denne løsesum ikke betales, truer angriberen med at lække data fra disse filer. Det er kendt som "dobbelt afpresning" på grund af, at dobbeltlagstaktikken gengiver ofrets filer og truer med at lække dataene offentligt. Ofre bliver normalt instrueret i at betale løsesummen med Bitcoin eller en anden kryptovaluta.
Hvem står bag cl0p-ransomware?
Men hvem står bag cl0p-ransomware? Cl0p-ransomware menes at være udviklet af en russisktalende cyberkriminel gruppe, der tilbyder ransomware-as-a-service og primært er motiveret af økonomisk gevinst. Gruppen er normalt kendt som TA505, selvom dette ofte bruges i flæng med navnet FIN11. Det er dog ikke helt klart, om de er den samme gruppe, eller om FIN11 er en underafdeling af TA505.
Uanset hvilket navn de går under, opererer denne cl0p-ransomwarebande baseret på modellen Ransomware-as-a-service. Cl0p-virussen er som sådan tilgængelig til salg på det mørke internet og kan teknisk set bruges af enhver cyberkriminel, der er villig til at betale for ransomwaren.
Cl0p-ransomware: Sådan virker det
Cl0p-ransomwaregruppen udfører primært sine angreb som en proces med flere trin. De kommer her:
- Angriberne bruger malwaren til at få adgang til den udvalgte enhed ved hjælp af forskellige metoder.
- Derefter foretager de manuel rekognoscering på enheden og stjæler de data, de ønsker.
- På dette tidspunkt starter de krypteringsprogrammet for at låse filer på den angrebne enhed ved at ændre filtype, så de bliver ubrugelige. Der er for nylig, som i tilfældet med angrebene i 2023 via filoverførselssoftwaren MOVEit, blevet stjålet data uden kryptering af filerne.
- Når offeret forsøger at åbne en af de krypterede filer, modtager de en besked med instruktioner om, hvordan man foretager betalingen.
- Angriberen bruger "dobbelt afpresning" og truer med at lække data stjålet fra ofrets enhed, hvis løsesummen ikke betales.
- Hvis løsesummen betales, modtager offeret en dekrypteringsnøgle, som gendanner filerne på enheden.
Angribere bruger forskellige metoder til at levere cl0p-ransomware til målrettede enheder. Disse kan omfatte:
- Phishing (ved hjælp af social engineering-teknikker)
- Udnyttelse af softwaresårbarheder
- Inficerede vedhæftede filer og links
- Inficerede websteder
- Kompromittering af de eksterne fjerntjenester
Uanset hvilken metode de vælger til at installere cl0p-trojaneren til den udvalgte enhed, fungerer det resulterende angreb stort set på samme måde. Målet er altid at modtage en løsesum fra offeret. I mange tilfælde tager angriberen dog bare betalingen og undlader at gøre som lovet. I disse tilfælde modtager offeret ikke dekrypteringsnøglen og kan ikke få adgang til sine filer igen.
Undgåelse af CL0P-ransomware
Det er afgørende for alle brugere af enheden at følge grundlæggende computersikkerhedsbestemmelser for at undgå en cl0p-infektion. Generelt er det de samme principper, der gælder for at forhindre alle typer cyberangreb, f.eks.:
- Inkluder malwaretrusler i organisationens træning i sikkerhedsoplysninger for at sikre, at medarbejderne holder sig ajour med de seneste trusler og forebyggende foranstaltninger – her kan Kasperskys onlinelæringsplatform Automated Security Awareness Platform være et nyttigt værktøj.
- Beskyt virksomhedsdata, herunder begrænsning af adgangskontrol.
- Gå ikke ind på fjernskrivebordstjenester ved hjælp af offentlige netværk – brug om nødvendigt stærke adgangskoder til disse tjenester.
- Sikkerhedskopiér altid data, og gem dem et separat sted, f.eks. på et cloud-lager eller eksterne drev i back offices.
- Hold al software og alle applikationer, inklusive operativsystemer og serversoftware, opdateret for at sikre, at de nyeste sikkerhedsrettelser er installeret. Det er især vigtigt straks at installere programrettelser til kommercielle VPN-løsninger, der giver medarbejderne mulighed for fjernadgang til organisatoriske netværk. Her kan automatiserede opdateringer og installationer, der er planlagt uden for kontortid være nyttige.
- Hold dig opdateret om de seneste trusselsefterretningsrapporter.
- Brug softwareværktøjer som Kasperskys Endpoint Detection (slutpunktsregistrering) eller Kasperskys MDR (administreret registrering og respons) til at opdage trusler tidligt og derved identificere og stoppe angreb i startfasen.
- Brug pålidelige slutpunktssikkerhedsløsninger - Kasperskys Endpoint Security for Business (Slutpunktssikkerhed for virksomheder) integrerer udnyttelsesforebyggelse, adfærdsdetektion ved hjælp af AI og ekspert-trusselsefterretning, reduktion af angrebsflader og en afhjælpningsmotor, der kan omgøre skadelige handlinger.
Håndtering af CL0P-ransomwarevirus
Når først en enhed er inficeret med cl0p-virussen, er der desværre meget lidt, der kan gøres for at få adgang til enhedens filer igen. Ligesom med enhver anden form for ransomwareangreb er det generelle råd, at du ikke betale den anmodede løsesum. Dette skyldes, at angriberne ofte ikke leverer dekrypteringsnøglen efter at have modtaget betalingen. Selv hvis de gør det, giver angrebets succes dem selvtillid og opmuntring til at fortsætte disse angreb på andre intetanende ofre.
I stedet for at betale løsesummen er det normalt bedst at kontakte myndighederne for at rapportere angrebet og begynde en undersøgelse. Man kan også anvende en af de mange udbredte softwareprogrammer til at scanne enheden og fjerne CL0P ransomware. Dette gendanner dog ikke filer, der blev krypteret under angrebet. Det er derfor vigtigt regelmæssigt at oprette sikkerhedskopier og gemme dem et separat sted – såsom et eksternt drev eller i cloud'en – så de stadig er tilgængelige i tilfælde af et angreb.
Forsigtighed er altid meget vigtigt, når det kommer til din computersikkerhed. Det er vigtigt at være opmærksom, når du surfer på internettet og downloader, installerer og opdaterer software.
Truslen fra Cl0p
Cl0p-ransomware udgør ligesom andre typer virus og malware en konstant trussel mod cybersikkerhed i et samfund, der nu i stort omfang er digitaliseret. cl0p-virussen er en meget specifik trussel i mængden af afpresningsmalware, men en trussel, der især bekymrer virksomheder og organisationer. Mens det kan have alvorlige konsekvenser for malwarens ofre, kan der træffes visse forebyggende forholdsregler og sikkerhedsforanstaltninger, der kan implementeres for at forsøge at minimere risikoen for angreb fra cl0p eller afbøde virkningerne i tilfælde af et angreb.
Relaterede artikler:
- Valg af antivirusløsning
- Hvordan spreder computervira sig?
- Ransomwareangreb og -typer: Forskellene på krypteringstrojanere
Relaterede produkter og tjenester: