重要なお知らせ:GoogleとYahooは2024年4月よりDMARCを義務付けます。
続きを読む
PowerDMARC

Clop ランサムウェアとは?

Ahona Rudra
クロップ・ランサムウェア
読書時間 5

Clop ランサムウェアは、セキュリティの抜け穴があるシステムを狙う悪名高い Cryptomix ファミリーの一部です。Clop ランサムウェアはファイルを暗号化し、拡張子 .Clop を付加します。その名前はロシア語の「Klop」から取られており、ベッドバグ(夜間に人間の血を吸うCimex科の虫)を意味します。

このランサムウェアは2019年にMichael Gillespieによって初めて観測された。のセキュリティの抜け穴を悪用したものである。 MOVEit TransferとMOVEit Cloudのセキュリティの抜け穴を悪用し、さまざまな企業から5億ドルを脅し取った。

Clop ランサムウェアとは?

Clop ランサムウェアは、マルウェアの一種である。 マルウェア被害者のシステム上のファイルを暗号化し、ハッカーに身代金を支払うまでアクセス不能にします。このマルウェアは、ファイルを暗号化するだけでなく、ターゲットのデバイスやネットワークから機密情報を抜き取るという、二重の恐喝戦略で人気を博しています。身代金が支払われない場合、彼らは盗んだデータを公開すると脅し、企業や個人にとって深刻なデータ漏洩や風評被害につながる可能性があります。

Clop ランサムウェアは、多くの場合、フィッシングメール、悪意のある添付ファイル、またはゼロデイ脆弱性を悪用して配布されます。 ゼロデイ脆弱性を悪用することで配布されることが多い。システムに感染すると、重要なファイルを探して暗号化し、通常暗号通貨で、復号鍵と引き換えに身代金の支払いを要求します。

Clopランサムウェアの一般的な指標は、暗号化拡張子、ファイルハッシュ、IPアドレスです。悪質な行為者は、標的となるファイルの名前を拡張子 .clop または .CIop (小さな L の代わりに大文字の i) に変更します。また、ランサムノートはClopReadMe.txtまたはCIopReadMe.txt(小さなLの代わりに大文字のi)として保存されます。

Clopランサムウェアはどのように動作するのか?

クロップは気付かれないように戦略的に進める。その展開はこうだ。

1.感染ベクター

Clopランサムウェアは、感染したダウンロードファイルやリンクが添付されたフィッシングメールの送信、マルウェアの仕込み、エクスプロイトキットのインストールなどによって、システムに侵入することから始まります。もう1つの一般的な手口は、悪意のあるHTMLを添付した電子メールを送信し、被害者をマクロ化されたドキュメントに誘導することです。これにより、Get2 ローダーがインストールされ、SDBOT、FlawedAmmyy、Cobalt Strike などの感染したツールやプログラムがダウンロードされます。 Cobalt Strike.

2.最初の妥協

アクセス権を獲得したランサムウェアはペイロードを実行し、感染したデバイスやネットワーク上で悪事を働きます。ネットワーク内で横方向に進み、他のシステムやサーバーに感染する可能性が高い。

3.ファイルの暗号化

強力な暗号化アルゴリズムを利用し、被害者のシステム上のファイルを暗号化します。これには、文書、画像、データベースなど、被害者にとって重要なデータが含まれます。そうすることで、被害者はデータをコントロールできるようになり、身代金を迅速に支払うよう迫られることになります。 

4.ファイル名の変更

暗号化されたファイルは「.clop」のような特定の拡張子でリネームされることが多く、Clopによって暗号化されたファイルであることが容易に識別できます。

5.身代金要求

Clop ランサムウェアは通常、暗号化されたファイルを含む各フォルダに身代金のメモを残します。このメモには、被害者が身代金(通常は暗号通貨)を支払って復号化キーを入手する方法が記載されています。

6.データ流出と二重の恐喝

身代金を要求するためにファイルを暗号化するだけでなく、機密データを流出させ、指定された期間内に身代金を支払わなければ情報を漏洩すると被害者を脅す。また、盗んだデータを競合他社やダークウェブで販売すると被害者を脅迫し、さらに圧力をかけることもあります。

7.執着と難読化

Clop ランサムウェアは、バックドアを作成したりシステム設定を変更したりすることで、システム内での永続性を確立しようとする可能性があります。また、アンチウイルスソフトウェアやセキュリティツールによる検出を回避するテクニックを使用することもあります。

8.身代金交渉

前述したように、ハッカーは身代金のメモを残し、被害者が身代金の支払いを交渉したり、人質のデータを復号化する指示を受け取ったりできるように、身代金のメモはコミュニケーション手段(主にTORベースのチャットや電子メールを通じて)としても使われる。

クロップ・ランサムウェアの被害に遭ったら?

clopランサムウェアの指標に出くわしたら、感染したシステムやネットワークを直ちに隔離し、感染が広がって状況が悪化するのを防ぎます。攻撃の範囲を特定する。どのシステムとデータが暗号化されたか、またデータが流出したかどうかを特定する。保険金請求や法執行機関の報告書のためにこの情報が必要になる場合があるため、調査結果を文書化する。

これらすべてに対処するのは複雑なことなので、専門家の助けを求めるのがよいだろう。また、法執行機関に攻撃を報告しなければならない。彼らはサポートを提供し、将来の攻撃を防ぐために働き、犯人を突き止める可能性がある。

また、さらなる調査のために、搾取の証拠を保存しておくことをお勧めします。これには通常、ログや身代金のメモが含まれます。

ほとんどの企業はバックアップをとっており、もしあなたがそのうちの一人であれば、再感染の可能性がないように、システムをクリーニングした後にデータを復元してください。ハッカーが二重の恐喝に走らなければ、バックアップの復元は命の恩人となる! 

ランサムウェア対策

ランサムウェアの被害を考えると、ランサムウェアや類似の攻撃を防ぐために、組織内で予防策を確立することがより重要になる。

パッチが適用されていないソフトウェアやデバイスは簡単に侵入できる。このようなソフトウェアやデバイスの脆弱性は十分に文書化されているため、ハッカーは侵入するための新しい方法を発見する必要がなく、優位に立てる。彼らはすでに知られていることを利用するだけなのだ!

Cybercrime-as-a-Service (CaaS)の導入により、パッチが適用されていない特定の種類のソフトウェアを悪用することが知られている多くのツールが安価で入手できるようになった。これは、ハッカーがアップデートされていないシステムを狙うもう1つの理由となる。ですから、アップデート通知をおろそかにしないようにしましょう。   

Clop ランサムウェアの兆候を特定するために、すべてのデバイス、システム、ネットワーク、ファイル、電子メールなどを監視することは不可能です。そのため、部署に関係なく、侵入の兆候を読み取ることができるようにチームメンバーを訓練してください。ソーシャル・エンジニアリングに基づく攻撃では、従業員が最初の防御ラインであることを忘れないでください!

定期的なミーティングを予定し、デバイスのセキュリティ、ソフトウエアのアップデート、データ保護について教育する。不審な行動や危険な可能性のある行動を適切な担当者に報告する方法を知っておく必要があります。さらに、チームがリモートで業務を行っている場合は、VPNや安全なWi-Fiの使用など、自宅のネットワークやデバイスを保護するためのベストプラクティスについてトレーニングを行う。

何よりも、パスワード・マネージャーを使用すること、強固でユニークなパスワードを設定すること、パスワードを共有したり書き留めたりしないことを奨励する。

ネットワークの断片化とは、ネットワークをファイアウォールなどのセキュリティ対策で区切られた、より小さく隔離されたセグメントに分割するサイバーセキュリティ戦略です。このアプローチは、攻撃がネットワーク全体に広がるのを制限することで、ランサムウェア攻撃から保護するのに役立ちます。 

Clopランサムウェアが1つのセグメントに感染しても、ネットワークの断片化によって被害を食い止め、ネットワークの他の部分に到達するのを防ぐことができる。さらに、より小さなネットワーク・セグメントを監視することで、セキュリティ・チームはより効果的に脅威を検知し、対応することができる。

メールフィルターは、悪意のあるダウンロードファイルやリンク、ランサムウェアのペイロードを含むメールの受信を確認し、その侵入をブロックします。新しいバージョンのメールフィルタリングツールは、ユーザーの行動を分析し、異常を検知して報告することができます。

サンドボックスでは、潜在的にリスクのあるアプリケーションやコードが、サンドボックスと呼ばれる制御され隔離された環境で実行される。サンドボックスはメインの技術環境から完全に分離されています。これにより、潜在的に悪意のあるコードの安全な実行とテストが可能になります。

この方法によって、セキュリティチームはランサムウェアの挙動を研究し、対策を開発することもできる。サンドボックスを使用することで、組織はランサムウェアの脅威を効果的に特定し、被害が発生する前にブロックすることができます。

電子メールはサイバー攻撃やランサムウェアの主要な媒介であるため、電子メールを保護することは不可欠です。当社の DMARCアナライザーは、電子メール・セキュリティのニーズに応えるワンストップ・ソリューションです!無料トライアル 無料トライアルをお試しください。

最新記事 by Ahona Rudra(全て見る)
モバイル版を終了する