Che cos'è il ransomware Clop?

Il ransomware Clop fa parte della famigerata famiglia Cryptomix che prende di mira i sistemi con falle nella sicurezza. Il ransomware Clop può criptare i file e aggiungere l'estensione .Clop. Il suo nome deriva dalla parola russa "Klop", che significa cimice dei letti, un insetto della famiglia Cimex che si nutre di sangue umano durante la notte.

Questo ransomware è stato osservato per la prima volta da Michael Gillespie nel 2019. Recentemente è stato coinvolto nello sfruttamento delle falle di sicurezza in MOVEit Transfer e MOVEit Cloud per estorcere 500 milioni di dollari a varie aziende.

Che cos'è il ransomware Clop?

Il ransomware Clop è un tipo di malware che cripta i file sul sistema della vittima, rendendoli inaccessibili fino al pagamento di un riscatto agli hacker. È popolare per la sua doppia strategia di estorsione, il che significa che oltre a criptare i file, gli attori delle minacce esfiltravano informazioni sensibili e riservate dal dispositivo o dalla rete dell'obiettivo. Se il riscatto non viene pagato, minacciano di pubblicare i dati rubati, il che può portare a gravi violazioni di dati e danni alla reputazione di aziende e privati.

Il ransomware Clop viene spesso distribuito attraverso email di phishing, allegati dannosi o sfruttando vulnerabilità zero-day nel software. Una volta infettato un sistema, cerca i file importanti e li cripta, chiedendo il pagamento di un riscatto, solitamente in criptovalute, in cambio di una chiave di decriptazione.

Gli indicatori comuni del ransomware Clop sono le estensioni di crittografia, gli hash dei file e gli indirizzi IP. I malintenzionati rinominano i file presi di mira con una delle estensioni .clop o .CIop (con la i maiuscola al posto della L minuscola). Inoltre, le note di riscatto vengono salvate come ClopReadMe.txt o CIopReadMe.txt (i maiuscola al posto della L minuscola).

Come funziona il ransomware Clop?

Clop procede in modo strategico per non essere scoperto. Ecco come si svolge...

1. Vettore di infezione

Il ransomware Clop inizia a esfiltrare i sistemi inviando e-mail di phishing con download o link infetti, impiantando malware, installando kit di exploit, ecc. Un'altra tattica comune è l'invio di e-mail con allegati HTML dannosi che portano la vittima a un documento abilitato alle macro. Questo aiuta a installare il caricatore Get2 che favorisce ulteriormente il download di strumenti e programmi infetti come SDBOT, FlawedAmmyy e Cobalt Strike.

2. Compromesso iniziale

Dopo aver ottenuto l'accesso, il ransomware esegue il payload, iniziando le sue operazioni maligne sul dispositivo o sulla rete compromessi. È probabile che proceda lateralmente all'interno della rete per infettare altri sistemi e server.

3. Crittografia dei file

Utilizza un forte algoritmo di crittografia per criptare i file sul sistema della vittima. Questo include dati critici come documenti, immagini, database e altri file che potrebbero essere cruciali per la vittima. In questo modo, la vittima ottiene il controllo sui propri dati e viene messa sotto pressione per pagare rapidamente il riscatto. 

4. Rinominare i file

I file crittografati sono spesso rinominati con un'estensione specifica, come ".clop", che li rende facilmente identificabili come crittografati da Clop.

5. Richiesta di riscatto

Il ransomware Clop lascia tipicamente una nota di riscatto in ogni cartella contenente i file crittografati. Questa nota fornisce istruzioni alla vittima su come pagare il riscatto (solitamente in criptovaluta) per ottenere la chiave di decrittazione.

6. Esfiltrazione di dati e doppia estorsione

Oltre a criptare i file per ottenere un riscatto, esfiltrare i dati sensibili e minacciare la vittima di divulgare le informazioni se il riscatto non viene pagato entro un determinato periodo di tempo. Possono anche intimare alle vittime di vendere i dati rubati ai concorrenti o sul dark web, aumentando la pressione.

7. Persistenza e offuscamento

Il ransomware Clop può tentare di persistere nel sistema creando backdoor o modificando le impostazioni di sistema. Può anche utilizzare tecniche per eludere il rilevamento da parte di software antivirus o strumenti di sicurezza.

8. Negoziazione del riscatto

Come già detto, gli hacker lasciano una nota di riscatto, che viene poi utilizzata anche come mezzo di comunicazione (principalmente attraverso una chat o un'e-mail basata su TOR) in modo che le vittime possano negoziare il pagamento del riscatto e ricevere istruzioni per decriptare i dati in ostaggio.

Cosa fare se siete già stati vittime di un attacco ransomware Clop?

Se vi imbattete negli indicatori del ransomware Clop, isolate immediatamente i sistemi e le reti infette per evitare che si diffonda e peggiori la situazione. Determinare l'entità dell'attacco. Identificate quali sistemi e dati sono stati crittografati e se i dati sono stati esfiltrati. Documentate i risultati, perché potreste aver bisogno di queste informazioni per le richieste di risarcimento assicurativo o per i rapporti delle forze dell'ordine.

Affrontare tutto questo può essere complicato, quindi è bene rivolgersi a un professionista. Dovreste anche denunciare l'aggressione alle forze dell'ordine. Queste possono fornire supporto, lavorare per prevenire attacchi futuri e potenzialmente rintracciare gli autori.

Consigliamo inoltre di conservare le prove dello sfruttamento per ulteriori indagini. Di solito si tratta di registri e note di riscatto.

La maggior parte delle aziende conserva i backup e, se siete tra queste, ripristinate i dati dopo la pulizia del sistema, in modo da evitare la possibilità di una nuova infezione. Se gli hacker non puntano alla doppia estorsione, il ripristino dei backup può essere un salvavita! 

Strategie di prevenzione del ransomware Clop

Considerando i danni che può causare, è ancora più importante stabilire alcune pratiche preventive nella vostra organizzazione per prevenire il ransomware Clop e attacchi simili.

• Software e dispositivi patchati

I software e i dispositivi non patchati sono facili da penetrare ed è per questo che gli hacker amano infiltrarsi in essi. Le vulnerabilità di tali software e dispositivi sono ben documentate, il che offre agli hacker un vantaggio in quanto non devono scoprire nuovi modi per entrare. Si limitano a utilizzare ciò che è già noto!

Con l'introduzione del Cybercrime-as-a-Service o CaaS, sono disponibili molti strumenti a prezzi più convenienti che sono noti per sfruttare alcuni tipi di software non patchati. Questo è un altro buon motivo per cui gli hacker prendono di mira i vostri sistemi non aggiornati. Non trascurate quindi le notifiche di aggiornamento.   

• Formazione del team

Non è possibile controllare tutti i dispositivi, i sistemi, le reti, i file, le e-mail e così via per identificare gli indicatori del ransomware Clop. Pertanto, formate i membri del vostro team, indipendentemente dal loro reparto, a leggere i segnali di invasione. Ricordate che negli attacchi basati sull'ingegneria sociale, i vostri dipendenti sono la prima linea di difesa!

Programmate incontri regolari per istruirli sulla sicurezza dei dispositivi, sugli aggiornamenti del software e sulla protezione dei dati. Devono sapere come segnalare attività sospette o potenzialmente pericolose alla persona giusta. Inoltre, se il vostro team opera da remoto, istruitelo sulle migliori pratiche per la protezione delle reti e dei dispositivi domestici, come l'uso di VPN e Wi-Fi sicuro.

Più di ogni altra cosa, incoraggiate l'uso di gestori di password, l'impostazione di password forti e uniche e la non condivisione o scrittura delle stesse.

• Segmentazione della rete

La frammentazione della rete è una strategia di cybersecurity che prevede la suddivisione di una rete in segmenti più piccoli e isolati, separati da misure di sicurezza come i firewall. Questo approccio aiuta a proteggersi dagli attacchi ransomware limitando la capacità dell'attacco di diffondersi nell'intera rete. 

Se il ransomware Clop infetta un segmento, la frammentazione della rete può contenere il danno e impedire che raggiunga altre parti della rete. Inoltre, il monitoraggio di segmenti di rete più piccoli consente ai team di sicurezza di rilevare e rispondere alle minacce in modo più efficace.

• Filtraggio delle e-mail

I filtri e-mail individuano le e-mail in arrivo con download, link o payload di ransomware dannosi e ne bloccano l'ingresso. Le versioni più recenti degli strumenti di filtraggio delle e-mail sono in grado di analizzare il comportamento degli utenti per rilevare e segnalare le anomalie.

• Sandboxing

Nel sandboxing, le applicazioni o i codici potenzialmente rischiosi vengono eseguiti in un ambiente controllato e isolato, chiamato sandbox. Una sandbox è completamente separata dall'ambiente tecnico principale. Consente l'esecuzione e la verifica sicura di codici potenzialmente dannosi.

Questo metodo consente inoltre ai team di sicurezza di studiare il comportamento del ransomware e di sviluppare contromisure. Utilizzando il sandboxing, le organizzazioni possono identificare e bloccare efficacemente le minacce ransomware prima che causino danni.

Poiché la posta elettronica è un importante vettore di cyberattacchi e ransomware, è essenziale proteggerla. Il nostro analizzatore DMARC è una soluzione unica per le vostre esigenze di sicurezza delle e-mail! Provatelo con una prova gratuita per il vostro dominio.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Come riconoscere gli allegati Zip Bomb nelle e-mail di spam? - 21 maggio 2024
• Codici di errore SMTP spiegati - 20 maggio 2024
• 10 migliori suggerimenti e strategie per la protezione delle e-mail - 15 maggio 2024