Что такое Clop Ransomware?

Clop ransomware является частью печально известного семейства Cryptomix, которое нацелено на системы с лазейками в системе безопасности. Clop ransomware может шифровать файлы и добавлять к ним расширение .Clop. Его название происходит от русского слова "клоп", что означает постельный клоп - насекомое из семейства Cimex, которое питается человеческой кровью по ночам.

Впервые эта программа-вымогатель была замечена Майклом Гиллеспи в 2019 году. Недавно она была замешана в использовании брешей в системе безопасности MOVEit Transfer и MOVEit Cloud для вымогательства 500 миллионов долларов у различных предприятий.

Что такое Clop Ransomware?

Clop ransomware - это тип вредоносного ПО который шифрует файлы в системе жертвы, делая их недоступными до тех пор, пока хакеры не заплатят выкуп. Он популярен благодаря стратегии двойного вымогательства, которая заключается в том, что, помимо шифрования файлов, угрожающие лица выкачивают важную и конфиденциальную информацию с устройства или сети жертвы. Если выкуп не будет выплачен, они угрожают опубликовать украденные данные, что может привести к серьезной утечке информации и нанесению репутационного ущерба компаниям и частным лицам.

Clop ransomware часто распространяется через фишинговые письма, вредоносные вложения или путем использования уязвимости нулевого дня в программном обеспечении. После заражения системы он ищет важные файлы и шифрует их, требуя выкуп, обычно в криптовалюте, в обмен на ключ для дешифровки.

Общими индикаторами вымогательского ПО Clop являются расширения шифрования, хэши файлов и IP-адреса. Злоумышленники переименовывают целевые файлы с одним из расширений - .clop или .CIop (заглавная i вместо маленькой L). Кроме того, заметки о выкупе сохраняются как ClopReadMe.txt или CIopReadMe.txt (заглавная i вместо маленькой L).

Как работает Clop Ransomware?

Клоп действует стратегически, чтобы остаться незамеченным. Вот как это разворачивается...

1. Вектор заражения

Clop ransomware начинает свою деятельность с проникновения в системы путем рассылки фишинговых писем с зараженными файлами для загрузки или ссылками, установки вредоносных программ, наборов эксплойтов и т. д. Другой распространенной тактикой является рассылка писем с вредоносными HTML-вложениями, которые ведут жертву к документу с макросами. Это помогает установить загрузчик Get2, который в дальнейшем способствует загрузке зараженных инструментов и программ, таких как SDBOT, FlawedAmmyy и Cobalt Strike.

2. Первоначальный компромисс

Получив доступ, ransomware запускает полезную нагрузку и начинает свои зловещие действия на взломанном устройстве или в сети. В дальнейшем она может распространиться по сети и заразить другие системы и серверы.

3. Шифрование файлов

Он использует мощный алгоритм шифрования для зашифровки файлов в системе жертвы. В их число входят критически важные данные: документы, изображения, базы данных и другие файлы, которые могут быть важны для жертвы. Таким образом, жертва получает контроль над своими данными и вынуждена быстро заплатить выкуп. 

4. Переименование файлов

Зашифрованные файлы часто переименовываются с особым расширением, например ".clop", что позволяет легко определить, что они зашифрованы Clop.

5. Требование выкупа

Clop ransomware обычно оставляет записку с выкупом в каждой папке с зашифрованными файлами. В записке содержатся инструкции, как заплатить выкуп (обычно в криптовалюте), чтобы получить ключ для расшифровки.

6. Эксфильтрация данных и двойное вымогательство

Помимо шифрования файлов с целью получения выкупа, они выкачивают конфиденциальные данные и угрожают жертве утечкой информации, если выкуп не будет выплачен в указанный срок. Они также могут запугивать жертв тем, что продадут украденные данные конкурентам или в темной паутине, что еще больше усиливает давление.

7. Устойчивость и запутывание

Clop ransomware может пытаться закрепиться в системе, создавая бэкдоры или изменяя системные настройки. Она также может использовать методы, позволяющие избежать обнаружения антивирусным программным обеспечением или средствами защиты.

8. Переговоры о выкупе

Как уже говорилось выше, хакеры оставляют записку с требованием выкупа, которая затем также используется в качестве средства связи (в основном через чат на базе TOR или электронную почту), чтобы жертвы могли договориться об оплате выкупа и получить инструкции по расшифровке данных заложников.

Что делать, если вы уже стали жертвой атаки Clop Ransomware?

Если вы обнаружили индикаторы clop ransomware, немедленно изолируйте зараженные системы и сети, чтобы предотвратить распространение и усугубление ситуации. Определите масштаб атаки. Определите, какие системы и данные были зашифрованы, и были ли какие-либо данные удалены. Задокументируйте полученные результаты, поскольку эта информация может понадобиться для страховых выплат или отчетов правоохранительных органов.

Разобраться со всем этим может быть непросто, поэтому вам стоит обратиться за профессиональной помощью. Вы также должны будете сообщить о нападении в правоохранительные органы. Они могут оказать поддержку, предотвратить будущие нападения и, возможно, разыскать преступников.

Мы также советуем вам сохранять доказательства эксплуатации для дальнейшего расследования. К ним обычно относятся журналы и записки с выкупами.

Большинство компаний хранят резервные копии, и если вы относитесь к их числу, то после очистки системы восстановите данные, чтобы исключить возможность повторного заражения. Если хакеры не пойдут на двойное вымогательство, восстановление резервных копий может стать спасением! 

Стратегии предотвращения заражения Clop Ransomware

Учитывая ущерб, который она может нанести, тем более важно внедрить в вашей организации некоторые превентивные методы для предотвращения атак clop ransomware и подобных им.

• Исправленное программное обеспечение и устройства

Непрограммируемое программное обеспечение и устройства легко взломать, поэтому хакеры так любят проникать в них. Уязвимости таких программ и устройств хорошо задокументированы, что дает хакерам преимущество, ведь им не нужно искать новые способы взлома. Они просто используют то, что уже известно!

С появлением сервиса Cybercrime-as-a-Service или CaaS по дешевым ценам стало доступно множество инструментов, которые, как известно, используют определенные типы непропатченного программного обеспечения. Это еще одна веская причина для хакеров атаковать ваши необновленные системы. Поэтому не пренебрегайте уведомлениями об обновлениях.   

• Командный тренинг

Вы не сможете проследить за всеми устройствами, системами, сетями, файлами, электронной почтой и т. д., чтобы выявить признаки заражения Clop ransomware. Поэтому обучите членов своей команды, независимо от их отдела, распознавать признаки вторжения. Помните, что при атаках, основанных на социальной инженерии, ваши сотрудники - это ваша первая линия обороны!

Запланируйте регулярные встречи, чтобы обучить их вопросам безопасности устройств, обновления программного обеспечения и защиты данных. Они должны знать, как сообщать о подозрительных или потенциально опасных действиях нужному человеку. Кроме того, если ваша команда работает удаленно, обучите их передовым методам защиты домашних сетей и устройств, например, использованию VPN и безопасного Wi-Fi.

Больше всего рекомендуется использовать менеджеры паролей, устанавливать надежные, уникальные пароли, не передавать и не записывать их.

• Сегментация сети

Фрагментация сети - это стратегия кибербезопасности, которая предполагает разделение сети на небольшие изолированные сегменты, разделенные такими мерами безопасности, как брандмауэры. Такой подход помогает защититься от атак ransomware, ограничивая возможность атаки распространиться по всей сети. 

Если программа Clop ransomware заражает один сегмент, фрагментация сети позволяет локализовать ущерб и предотвратить его проникновение в другие части сети. Кроме того, мониторинг небольших сегментов сети позволяет командам безопасности более эффективно обнаруживать угрозы и реагировать на них.

• Фильтрация электронной почты

Фильтры электронной почты выявляют входящие письма с вредоносными загрузками, ссылками или полезной нагрузкой в виде выкупа и блокируют их. Новые версии инструментов фильтрации электронной почты могут анализировать поведение пользователей, чтобы выявлять аномалии и сообщать о них.

• Песочница

При использовании "песочницы" потенциально опасные приложения или коды запускаются в контролируемой изолированной среде, называемой "песочницей". Песочница полностью отделена от основной технической среды. Она позволяет безопасно выполнять и тестировать потенциально вредоносные коды.

Этот метод также позволяет командам безопасности изучить поведение ransomware и разработать контрмеры. Используя "песочницу", организации могут эффективно выявлять и блокировать угрозы ransomware до того, как они нанесут ущерб.

Поскольку электронная почта является одним из основных векторов кибератак и вымогательства, очень важно обеспечить ее защиту. Наш DMARC-анализатор это универсальное решение для обеспечения безопасности электронной почты! Попробуйте его, воспользовавшись бесплатная пробная версия для вашего домена.

• О сайте
• Последние сообщения

Ахона Рудра

Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.

Последние сообщения Ахона Рудра (см. все)

• Объяснение кодов ошибок SMTP - 20 мая 2024 г.
• 10 лучших советов и стратегий защиты электронной почты - 15 мая 2024 г.
• Может ли блокчейн помочь повысить безопасность электронной почты? - 9 мая 2024 г.