重要提示:谷歌和雅虎将从 2024 年 4 月起要求使用 DMARC。
阅读更多
权力管理机构

什么是 Clop Ransomware?

Ahona Rudra
Clop 勒索软件
阅读时间 5 分钟

Clop ransomware 是臭名昭著的 Cryptomix 系列的一部分,主要针对存在安全漏洞的系统。Clop 勒索软件可以加密文件并附加 .Clop 扩展名。它的名字取自俄语 "Klop",意思是臭虫--一种在夜间以吸食人血为食的 Cimex 家族的虫子。

Michael Gillespie 于 2019 年首次观察到该勒索软件。它最近利用了 MOVEit Transfer 和 MOVEit Cloud中的安全漏洞,向多家企业勒索 5 亿美元。

什么是 Clop Ransomware?

Clop 勒索软件是一种 恶意软件它会加密受害者系统中的文件,使其无法访问,直到向黑客支付赎金。它因其双重勒索策略而流行,这意味着除了加密文件外,威胁行为者还会从目标设备或网络中窃取敏感和机密信息。如果不支付赎金,他们就威胁要公布被盗数据,这可能会导致严重的数据泄露,并对企业和个人的声誉造成损害。

Clop 勒索软件通常通过钓鱼电子邮件、恶意附件或利用 零日漏洞软件中的零日漏洞传播。一旦感染系统,它就会搜索重要文件并进行加密,要求支付赎金(通常是加密货币)以换取解密密钥。

Clop 勒索软件的常见指标是加密扩展名、文件哈希值和 IP 地址。不良分子会用 .clop 或 .CIop(大写 i 而不是小 L)扩展名重命名目标文件。此外,赎金说明会保存为 ClopReadMe.txt 或 CIopReadMe.txt(大写 i 而不是小 L)。

Clop Ransomware 如何工作?

为了不被发现,Clop 采取了策略性的行动。故事是这样展开的

1.感染载体

Clop 勒索软件首先通过发送带有受感染下载文件或链接的钓鱼邮件、植入恶意软件、安装漏洞利用工具包等方式渗入系统。它们使用的另一种常见策略是发送带有恶意 HTML 附件的电子邮件,将受害者带入一个启用宏的文档。这有助于安装 Get2 加载器,从而进一步帮助下载受感染的工具和程序,如 SDBOT、FlawedAmmyy 和 Cobalt Strike.

2.初步妥协

获得访问权限后,勒索软件会执行有效载荷,在被入侵的设备或网络上开始其邪恶行动。它很可能在网络内横向发展,感染其他系统和服务器。

3.文件加密

它利用强大的加密算法对受害者系统中的文件进行加密。这包括关键数据,如文档、图像、数据库和其他可能对受害者至关重要的文件。这样做可以让他们控制自己的数据,并使他们面临迅速支付赎金的压力。 

4.文件重命名

加密文件通常会用特定的扩展名重命名,如".clop",使其很容易被识别为被 Clop 加密。

5.赎金要求

Clop 勒索软件通常会在每个包含加密文件的文件夹中留下一张赎金条。这张纸条会指导受害者如何支付赎金(通常是加密货币)以获得解密密钥。

6.数据外渗和双重勒索

除了加密文件索取赎金外,他们还会外流敏感数据,并威胁受害者如果不在规定时间内支付赎金,就会泄露信息。他们还可能恐吓受害者说,他们会将窃取的数据卖给竞争对手或在暗网上出售,从而增加压力。

7.坚持与混淆

Clop 勒索软件可能会通过创建后门或修改系统设置来试图在系统中建立持久性。它还可能采用各种技术来逃避杀毒软件或安全工具的检测。

8.赎金谈判

如上所述,黑客会留下一张赎金纸条,然后将其作为一种通信手段(主要通过基于 TOR 的聊天工具或电子邮件),这样受害者就可以协商赎金支付事宜,并接收解密人质数据的指令。

如果您已经成为 Clop 勒索软件攻击的受害者,该怎么办?

如果发现 clop 勒索软件的迹象,请立即隔离受感染的系统和网络,以防止其扩散并使情况恶化。确定攻击范围。确定哪些系统和数据已被加密,以及是否有数据外流。记录调查结果,因为保险索赔或执法报告可能需要这些信息。

处理所有这些问题可能会很复杂,因此您可能需要寻求专业帮助。您还必须向执法机构报告袭击事件。他们可以提供支持,努力防止未来的攻击,并有可能追踪肇事者。

我们还建议您保留漏洞利用的证据,以便进一步调查。这通常包括日志和赎金说明。

大多数公司都会保留备份,如果你也是其中之一,那么在清理系统后恢复数据,这样就不会有再次感染的可能。如果黑客没有进行双重勒索,那么恢复备份就是救命稻草! 

Clop 勒索软件预防策略

考虑到它可能造成的破坏,在组织中建立一些预防措施以防止 clop 勒索软件和类似攻击就显得尤为重要-- 这就是为什么我们需要在组织中建立一些预防措施。

未打补丁的软件和设备很容易被入侵,这就是黑客喜欢入侵它们的原因。这类软件和设备的漏洞都有详细记录,黑客们无需发现新的入侵方法,因此更有优势。他们只需利用已知的漏洞即可!

随着 "网络犯罪即服务"(CaaS)的推出,许多工具都能以更低廉的价格获得,这些工具已知会利用某些类型的未打补丁软件。这也是黑客将未更新系统作为攻击目标的另一个很好的理由。因此,不要忽视任何更新通知。   

您不可能照顾到所有的设备、系统、网络、文件、电子邮件等,来识别 Clop 勒索软件的迹象。因此,请对您的团队成员进行培训,无论他们来自哪个部门,都要让他们了解入侵的迹象。请记住,在基于社交工程的攻击中,员工是您的第一道防线!

安排定期会议,对他们进行设备安全、软件更新和数据保护方面的教育。他们应该知道如何向正确的人报告可疑或潜在的危险活动。此外,如果您的团队是远程运行的,请对他们进行培训,让他们了解保护家庭网络和设备安全的最佳做法,如使用 VPN 和安全 Wi-Fi。

最重要的是,鼓励使用密码管理器,设置强大、独特的密码,不共享或写下密码。

网络分片是一种网络安全策略,包括将网络划分成较小的、隔离的网段,并用防火墙等安全措施隔开。这种方法通过限制攻击在整个网络中的传播能力,有助于防范勒索软件攻击。 

如果 Clop 勒索软件感染了一个网段,网络分片可以控制破坏,防止其到达网络的其他部分。此外,监控较小的网段可以让安全团队更有效地检测和应对威胁。

电子邮件过滤工具可识别带有恶意可下载文件、链接或勒索软件有效载荷的传入电子邮件,并阻止其进入。较新版本的电子邮件过滤工具可以分析用户行为,发现并报告异常情况。

在沙箱技术中,有潜在风险的应用程序或代码会在一个名为沙箱的受控隔离环境中运行。沙箱与主技术环境完全分离。它允许安全执行和测试潜在的恶意代码。

这种方法还能让安全团队研究勒索软件的行为并制定应对措施。利用沙箱技术,企业可以在勒索软件威胁造成破坏之前有效地识别和阻止它们。

电子邮件是网络攻击和勒索软件的主要载体,因此对其进行保护至关重要。我们的 DMARC 分析仪是满足您电子邮件安全需求的一站式解决方案!试用 免费试用试用。

Ahona Rudra的最新文章(查看全部)
退出手机版