O que é o Clop Ransomware?
O ransomware Clop faz parte da infame família Cryptomix que tem como alvo os sistemas com falhas de segurança. O ransomware Clop pode encriptar ficheiros e anexar a extensão .Clop. O seu nome é retirado da palavra russa 'Klop', que significa percevejo - um inseto da família Cimex que se alimenta de sangue humano à noite.
Este ransomware foi observado pela primeira vez por Michael Gillespie em 2019. Esteve recentemente envolvido na exploração de falhas de segurança no MOVEit Transfer e MOVEit Cloud para extorquir 500 milhões de dólares a várias empresas.
O que é o Clop Ransomware?
O ransomware Clop é um tipo de malware que encripta ficheiros no sistema da vítima, tornando-os inacessíveis até que seja pago um resgate aos hackers. É popular pela sua estratégia de extorsão dupla, o que significa que, para além de encriptar ficheiros, os agentes da ameaça exfiltram informação sensível e confidencial do dispositivo ou rede do alvo. Se o resgate não for pago, ameaçam publicar os dados roubados, o que pode levar a graves violações de dados e danos à reputação de empresas e indivíduos.
O ransomware Clop é frequentemente distribuído através de e-mails de phishing, anexos maliciosos ou através da exploração de vulnerabilidades de dia zero no software. Depois de infetar um sistema, procura ficheiros importantes e encripta-os, exigindo um pagamento de resgate, normalmente em criptomoeda, em troca de uma chave de desencriptação.
Os indicadores comuns do ransomware Clop são as extensões de encriptação, hashes de ficheiros e endereços IP. Os malfeitores renomeiam os ficheiros visados com uma das extensões - .clop ou .CIop (i maiúsculo em vez de L minúsculo). Além disso, as notas de resgate são guardadas como ClopReadMe.txt ou CIopReadMe.txt (i maiúsculo em vez de L minúsculo).
Como é que o Clop Ransomware funciona?
Clop procede de forma estratégica para não ser detectado. Eis como se desenrola...
1. Vetor de infeção
O ransomware Clop começa por se infiltrar nos sistemas através do envio de e-mails de phishing com descarregáveis ou links infectados, plantando malware, instalando kits de exploração, etc. Outra tática comum que utilizam envolve o envio de e-mails com anexos HTML maliciosos que levam a vítima para um documento habilitado para macro. Isso ajuda a instalar o carregador Get2 que auxilia ainda mais o download de ferramentas e programas infectados como SDBOT, FlawedAmmyy e Cobalt Strike.
2. Compromisso inicial
Depois de obter acesso, o ransomware executa o payload, iniciando as suas operações maléficas no dispositivo ou rede comprometida. É provável que prossiga lateralmente dentro da rede para infetar outros sistemas e servidores.
3. Encriptação de ficheiros
Utiliza um algoritmo de encriptação forte para encriptar ficheiros no sistema da vítima. Isto inclui dados críticos como documentos, imagens, bases de dados e outros ficheiros que podem ser cruciais para a vítima. Ao fazê-lo, dá-lhes controlo sobre os seus dados e pressiona-os a pagar o resgate rapidamente.
4. Renomeação de ficheiros
Os ficheiros encriptados são frequentemente renomeados com uma extensão específica, tal como ".clop", tornando-os facilmente identificáveis como tendo sido encriptados pelo Clop.
5. Pedido de resgate
O ransomware Clop normalmente deixa uma nota de resgate em cada pasta que contém ficheiros encriptados. Essa nota fornece instruções para a vítima sobre como pagar o resgate (geralmente em criptomoeda) para obter a chave de descriptografia.
6. Exfiltração de dados e dupla extorsão
Para além de encriptar os ficheiros para obter um resgate, exfiltram dados sensíveis e ameaçam a vítima de divulgar a informação se o resgate não for pago dentro do prazo especificado. Podem também intimidar as vítimas com a possibilidade de venderem os dados roubados a concorrentes ou na dark web, aumentando a pressão.
7. Persistência e ofuscação
O ransomware Clop pode tentar estabelecer a persistência no sistema criando backdoors ou modificando as configurações do sistema. Também pode empregar técnicas para evitar a deteção por software antivírus ou ferramentas de segurança.
8. Negociação do resgate
Como já foi referido, os piratas informáticos deixam uma nota de resgate, que é depois também utilizada como meio de comunicação (principalmente através de um chat baseado no TOR ou por correio eletrónico) para que as vítimas possam negociar o pagamento do resgate e receber instruções para desencriptar os dados dos reféns.
O que fazer se já foi vítima de um ataque de ransomware Clop?
Se se deparar com os indicadores do ransomware clop, isole imediatamente os sistemas e redes infectados para evitar que se espalhe e piore a situação. Determinar a extensão do ataque. Identifique quais os sistemas e dados que foram encriptados e se foram exfiltrados quaisquer dados. Documente as conclusões, uma vez que pode precisar destas informações para pedidos de indemnização de seguros ou relatórios de aplicação da lei.
Lidar com tudo isto pode ser complicado, pelo que é melhor procurar ajuda profissional. Também terá de comunicar o ataque às autoridades policiais. Estas podem prestar apoio, trabalhar no sentido de prevenir futuros ataques e, eventualmente, localizar os autores.
Aconselhamo-lo também a preservar as provas da exploração para investigação posterior. Isto inclui normalmente registos e notas de resgate.
A maioria das empresas mantém cópias de segurança e, se for um desses casos, restaure os dados depois de limpar o sistema para que não haja a possibilidade de reinfeção. Se os piratas informáticos não optarem pela dupla extorsão, restaurar as cópias de segurança pode ser um salva-vidas!
Estratégias de prevenção do ransomware Clop
Tendo em conta os danos que pode causar, é ainda mais importante estabelecer algumas práticas preventivas na sua organização para evitar o ransomware clop e ataques semelhantes.
-
Software e dispositivos corrigidos
O software e os dispositivos não corrigidos são fáceis de invadir e é por isso que os piratas informáticos adoram entrar neles. As vulnerabilidades deste tipo de software e dispositivos estão bem documentadas, o que dá aos piratas informáticos uma vantagem, uma vez que não têm de descobrir novas formas de entrar. Basta usar o que já é conhecido!
Com a introdução do Cybercrime-as-a-Service ou CaaS, muitas ferramentas estão disponíveis a preços mais baratos e são conhecidas por explorarem certos tipos de software não corrigido. Esta é outra boa razão para os hackers atacarem os seus sistemas não actualizados. Por isso, não negligencie as notificações de atualização.
-
Formação de equipas
Não é possível cuidar de todos os dispositivos, sistemas, redes, arquivos, e-mails, etc., para identificar indicadores do ransomware Clop. Por isso, treine os membros da sua equipa, independentemente do seu departamento, para lerem os sinais de invasão. Lembre-se, em ataques baseados em engenharia social, seus funcionários são sua primeira linha de defesa!
Agende reuniões regulares para os informar sobre a segurança dos dispositivos, actualizações de software e proteção de dados. Devem saber como comunicar actividades suspeitas ou potencialmente perigosas à pessoa certa. Além disso, se a sua equipa trabalha remotamente, dê-lhes formação sobre as melhores práticas para proteger redes e dispositivos domésticos, como a utilização de VPNs e de Wi-Fi seguro.
Acima de tudo, incentive a utilização de gestores de palavras-passe, a definição de palavras-passe fortes e únicas e a não as partilhar ou anotar.
-
Segmentação de rede
A fragmentação da rede é uma estratégia de cibersegurança que envolve a divisão de uma rede em segmentos mais pequenos e isolados, separados por medidas de segurança como firewalls. Esta abordagem ajuda a proteger contra ataques de ransomware, limitando a capacidade do ataque de se espalhar por toda a rede.
Se o ransomware Clop infetar um segmento, a fragmentação da rede pode conter os danos e impedir que atinja outras partes da rede. Além disso, a monitorização de segmentos de rede mais pequenos permite às equipas de segurança detetar e responder a ameaças de forma mais eficaz.
-
Filtragem de correio eletrónico
Os filtros de correio eletrónico detectam os e-mails recebidos com descarregáveis maliciosos, links ou cargas de ransomware e bloqueiam a sua entrada. As versões mais recentes das ferramentas de filtragem de correio eletrónico podem analisar o comportamento do utilizador para detetar e comunicar anomalias.
-
Caixa de areia
Na área restrita, as aplicações ou códigos potencialmente arriscados são executados num ambiente controlado e isolado, denominado área restrita. Uma caixa de areia está completamente separada do ambiente técnico principal. Permite a execução e o teste seguros de códigos potencialmente maliciosos.
Este método também permite que as equipas de segurança estudem o comportamento do ransomware e desenvolvam contramedidas. Utilizando o sandboxing, as organizações podem identificar e bloquear eficazmente as ameaças de ransomware antes que estas causem danos.
Uma vez que o correio eletrónico é um importante vetor de ciberataques e de ransomware, é essencial protegê-lo. O nosso analisador DMARC é uma solução completa para as suas necessidades de segurança de correio eletrónico! Experimente-o através de um teste gratuito para o seu domínio.
- Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
- Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024
- Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024