¿Qué es el ransomware Clop?
El ransomware Clop forma parte de la infame familia Cryptomix que ataca a sistemas con brechas de seguridad. El ransomware Clop puede cifrar archivos y añadir la extensión .Clop. Su nombre procede de la palabra rusa 'Klop', que significa chinche de cama, un insecto de la familia Cimex que se alimenta de sangre humana por la noche.
Este ransomware fue observado por primera vez por Michael Gillespie en 2019. Recientemente estuvo involucrado en la explotación de brechas de seguridad en MOVEit Transfer y MOVEit Cloud para extorsionar 500 millones de dólares a varias empresas.
¿Qué es el ransomware Clop?
El ransomware Clop es un tipo de malware que cifra los archivos del sistema de la víctima, haciéndolos inaccesibles hasta que se paga un rescate a los hackers. Es popular por su doble estrategia de extorsión, que consiste en que, además de cifrar los archivos, los autores de la amenaza extraen información sensible y confidencial del dispositivo o la red de la víctima. Si no se paga el rescate, amenazan con publicar los datos robados, lo que puede provocar graves violaciones de datos y daños a la reputación de empresas y particulares.
El ransomware Clop se distribuye a menudo a través de correos electrónicos de phishing, archivos adjuntos maliciosos o aprovechando vulnerabilidades de día cero. vulnerabilidades de día cero en el software. Una vez que infecta un sistema, busca archivos importantes y los cifra, exigiendo el pago de un rescate, normalmente en criptomoneda, a cambio de una clave de descifrado.
Los indicadores comunes del ransomware Clop son las extensiones de cifrado, los hash de los archivos y las direcciones IP. Los ciberdelincuentes cambian el nombre de los archivos con las extensiones .clop o .CIop (i mayúscula en lugar de L minúscula). Además, las notas de rescate se guardan como ClopReadMe.txt o CIopReadMe.txt (i mayúscula en lugar de L minúscula).
¿Cómo funciona el ransomware Clop?
Clop procede estratégicamente para pasar desapercibido. Así es como se desarrolla...
1. Vector de infección
El ransomware Clop comienza exfiltrando sistemas mediante el envío de correos electrónicos de phishing con descargables o enlaces infectados, plantando malware, instalando exploit kits, etc. Otra táctica común que utilizan consiste en enviar correos electrónicos con adjuntos HTML maliciosos que llevan a la víctima a un documento habilitado para macros. Esto ayuda a instalar el cargador Get2 que, a su vez, facilita la descarga de herramientas y programas infectados como SDBOT, FlawedAmmyy y Cobalt Strike.
2. Compromiso inicial
Tras obtener acceso, el ransomware ejecuta la carga útil, iniciando sus malvadas operaciones en el dispositivo o red comprometidos. Es probable que proceda lateralmente dentro de la red para infectar otros sistemas y servidores.
3. Cifrado de archivos
Utiliza un potente algoritmo de cifrado para encriptar los archivos del sistema de la víctima. Esto incluye datos críticos como documentos, imágenes, bases de datos y otros archivos que podrían ser cruciales para la víctima. De este modo, les da el control sobre sus datos y les presiona para que paguen el rescate rápidamente.
4. Renombramiento de archivos
Los archivos cifrados suelen renombrarse con una extensión específica, como ".clop", lo que los hace fácilmente identificables como cifrados por Clop.
5. Demanda de rescate
El ransomware Clop suele dejar una nota de rescate en cada carpeta que contiene archivos cifrados. Esta nota proporciona instrucciones a la víctima sobre cómo pagar el rescate (normalmente en criptomoneda) para obtener la clave de descifrado.
6. Exfiltración de datos y doble extorsión
Además de cifrar archivos a cambio de un rescate, exfiltran datos confidenciales y amenazan a la víctima con filtrar la información si no se paga el rescate en el plazo especificado. También pueden intimidar a las víctimas con que venderán los datos robados a la competencia o en la dark web, lo que añade más presión.
7. Persistencia y ofuscación
El ransomware Clop puede intentar permanecer en el sistema creando puertas traseras o modificando la configuración del sistema. También puede emplear técnicas para evadir la detección de software antivirus o herramientas de seguridad.
8. Negociación del rescate
Como se mencionó anteriormente, los hackers dejan una nota de rescate, que luego también se utiliza como medio de comunicación (principalmente a través de un chat basado en TOR o correo electrónico) para que las víctimas puedan negociar el pago del rescate y recibir instrucciones para descifrar los datos de los rehenes.
¿Qué hacer si ya has sido víctima de un ataque de ransomware Clop?
Si encuentra indicadores del ransomware clop, aísle inmediatamente los sistemas y redes infectados para evitar que se propague y empeore la situación. Determine el alcance del ataque. Identifique qué sistemas y datos se han cifrado y si se ha filtrado algún dato. Documente los hallazgos, ya que puede necesitar esta información para reclamaciones de seguros o informes policiales.
Enfrentarse a todo esto puede ser complicado, así que tal vez quieras buscar ayuda profesional. También tendrías que denunciar el ataque a las fuerzas de seguridad. Ellos pueden prestar apoyo, trabajar para prevenir futuros ataques y, potencialmente, localizar a los autores.
También le aconsejamos que conserve las pruebas de la explotación para investigaciones posteriores. Esto suele incluir registros y notas de rescate.
La mayoría de las empresas guardan copias de seguridad, y si usted es una de ellas, restaure los datos después de limpiar su sistema para que no haya posibilidad de reinfección. Si los hackers no optan por la doble extorsión, ¡restaurar las copias de seguridad puede ser un salvavidas!
Estrategias de prevención del ransomware Clop
Teniendo en cuenta el daño que puede causar, es aún más importante establecer algunas prácticas preventivas en su organización para evitar el ransomware clop y ataques similares-.
-
Software y dispositivos parcheados
El software y los dispositivos sin parches son fáciles de vulnerar, y por eso a los hackers les encanta colarse en ellos. Las vulnerabilidades de este tipo de software y dispositivos están bien documentadas, lo que da a los piratas informáticos una ventaja, ya que no tienen que descubrir nuevas formas de entrar. Se limitan a utilizar lo que ya se conoce.
Con la introducción de Cybercrime-as-a-Service o CaaS, hay muchas herramientas disponibles a precios más baratos que son conocidas por explotar ciertos tipos de software sin parches. Esta es otra buena razón para que los hackers tengan como objetivo sus sistemas no actualizados. Así que no descuide ninguna notificación de actualización.
-
Formación de equipos
No es posible vigilar todos los dispositivos, sistemas, redes, archivos, correos electrónicos, etc., para identificar los indicadores del ransomware Clop. Por tanto, forme a los miembros de su equipo, independientemente de su departamento, para que sepan leer las señales de invasión. Recuerde, en los ataques basados en ingeniería social, ¡sus empleados son su primera línea de defensa!
Programe reuniones periódicas para informarles sobre la seguridad de los dispositivos, las actualizaciones de software y la protección de datos. Deben saber cómo informar de actividades sospechosas o potencialmente peligrosas a la persona adecuada. Además, si tu equipo trabaja a distancia, enséñales las mejores prácticas para proteger las redes y los dispositivos domésticos, como el uso de VPN y Wi-Fi seguras.
Sobre todo, anima a utilizar gestores de contraseñas, a establecer contraseñas fuertes y únicas, y a no compartirlas ni escribirlas.
-
Segmentación de la red
La fragmentación de la red es una estrategia de ciberseguridad que consiste en dividir una red en segmentos más pequeños y aislados, separados por medidas de seguridad como cortafuegos. Este enfoque ayuda a protegerse contra los ataques de ransomware al limitar la capacidad del ataque para propagarse por toda la red.
Si el ransomware Clop infecta un segmento, la fragmentación de la red puede contener el daño y evitar que llegue a otras partes de la red. Además, la supervisión de segmentos de red más pequeños permite a los equipos de seguridad detectar y responder a las amenazas con mayor eficacia.
-
Filtrado de correo electrónico
Los filtros de correo electrónico detectan los mensajes entrantes con descargas maliciosas, enlaces o cargas útiles de ransomware y bloquean su entrada. Las versiones más recientes de herramientas de filtrado de correo electrónico pueden analizar el comportamiento del usuario para detectar y notificar anomalías.
-
Sandboxing
En el sandboxing, las aplicaciones o códigos potencialmente peligrosos se ejecutan en un entorno controlado y aislado denominado sandbox. Un sandbox está completamente separado del entorno técnico principal. Permite la ejecución y prueba seguras de códigos potencialmente maliciosos.
Este método también permite a los equipos de seguridad estudiar el comportamiento del ransomware y desarrollar contramedidas. Mediante el sandboxing, las organizaciones pueden identificar y bloquear eficazmente las amenazas de ransomware antes de que causen daños.
Dado que el correo electrónico es un importante vector de ciberataques y ransomware, es esencial protegerlo. Nuestro analizador DMARC es una solución integral para sus necesidades de seguridad del correo electrónico. Pruébelo prueba gratuita para su dominio.
- ¿Cómo convertirse en un experto en DMARC? - 3 de septiembre de 2024
- El papel de la adopción digital en la entregabilidad y la seguridad del correo electrónico - 2 de septiembre de 2024
- Fases de implantación de DMARC: Qué esperar y cómo prepararse - 30 de agosto de 2024