Løsepengeviruset CL0P: Hva er det og hvordan fungerer det?

De siste årene har løsepengeviruset cl0p blitt en stor nettsikkerhetstrussel. Det forårsaker betydelige skader for en rekke organisasjoner og bransjer over hele verden. Virusangrep fra cl0p utføres på lignende måter som andre løsepengevirusangrep, men det finnes noen spesifikke forskjeller.

Så hva er løsepengeviruset cl0p, og hvordan fungerer disse angrepene? Og hva kan organisasjoner gjøre for å redusere sjansen for at de blir utsatt for disse angrepene, som kan ha betydelige økonomiske konsekvenser?

Løsepengeviruset CL0P: En kort historie

Cl0p (eller «clop») er en type løsepengevirus eller utpressingsvare. Selv om det ikke er helt det samme som CryptoMix, er det sannsynlig at det ble modellert etter det tidligere skadeprogrammet. Nå har trojaneren vært gjennom flere versjoner, og de nye versjonene erstatter raskt de foregående.

Cl0p ble oppdaget av sikkerhetsforskere i februar 2019 etter et stort spydphishing-angrep. Det var, og er fortsatt, en stor nettsikkerhetstrussel mot alle typer bedrifter og organisasjoner på grunn av måten det skader filer på offerets enheter og presser ut økonomiske betalinger på. Det anses at gruppen bak løsepengeviruset cl0p har presset ut penger fra globale energikonglomerater, flere store universiteter, BBC, British Airways og forskjellige offentlige etater ved bruk av det målrettede skadeprogrammet.

I 2020 utførte gruppen bak løsepengeviruset cl0p et angrep for å utnytte sårbarhetene i Kiteworks (tidligere Accellion) private innholdsnettverk. Da kunne de gå etter plattformens klienter og infiltrere nettverkene deres. Skadeprogrammet clop ble dog ikke brukt i dette angrepet. Samtidig utførte opphavspersonene bak trojaneren cl0p en dobbel utpressingsplan ved å lekke data som ble stjålet fra et legemiddelselskap i et ekstremt ødeleggende angrep.

Dette ble etterfulgt i 2021 av angrep på SolarWinds, et programvareselskap som tilbyr IT-tjenester til ulike bedrifter, og Swire Pacific Offshore, en leverandør innen maritime tjenester i Singapore.

I 2023 fikk cl0ps aktiviteter en oppsving i forhold til tidligere år. Fra januar til juni 2023 ble trojaneren brukt til å angripe ofre i ulike bransjer, med bedriftstjenester i ledelsen, etterfulgt av programvare og finans. Mange av ofrene var i Nord-Amerika og Europa, men USA opplevde det høyeste antallet angrep med betydelig margin.

Angrepet var betydelig i omfang. Over 2000 organisasjoner rapporterte hendelser, og mer enn 62 millioner enkeltpersoner opplevde at dataene deres ble lekket – hovedsakelig i USA.

Angrepsrekken fra gruppen bak løsepengeviruset cl0p via sårbarheten i filoverføringsprogramvaren MOVEit (CVE-2023-34362) nådde sitt høydepunkt: Angriperne hevdet å ha brutt seg inn i hundrevis av selskaper og utstedte et ultimatum frem til 14. juni. Zero-day-trusselen førte til massenedlastinger av organisasjoners data, inkludert ulike typer konfidensiell informasjon. Amerikanske politimyndigheter bestemte seg for å utlove en belønning på 10 millioner dollar for informasjon om Cl0p.

Hva er cl0p?

Så hva er cl0p? Analyser av løsepengeviruset cl0p viser at det er en variant av løsepengeviruset CryptoMix. På samme måte som skadeprogrammet det er basert på, infiserer cl0p-viruset enheten som blir angrepet. Men i dette tilfellet endrer løsepengeviruset navn på alle filene med .cl0p-filtypen, krypterer dem og gjør dem ubrukelige.

Løsepengeviruset cl0p retter seg etter Win32 PE (Portable Executable)-formatet for kjørbare filer for å utføre angrepene på en effektiv måte. Forskere har oppdaget cl0p-virus i kjørbare filer med verifiserte signaturer som gir det et legitimt utseende og hjelper skadeprogrammet med å unngå oppdagelse av sikkerhetsprogramvaren. Cl0p krypterer deretter filer med RS4-flytchifferen og bruker RSA 1024 til å kryptere RC4-nøklene. Alle filer på enheten er i fare under denne typen løsepengevirusinfeksjon, inkludert bilder, videoer, musikk og dokumenter.

Etter å ha kryptert filene sender cl0p-viruset et løsepengekrav fra angriperen til offeret. Hvis løsepengekravet ikke betales, truer angriperen med å lekke dataene fra disse filene. Dette kalles «dobbelt utpressing» på grunn av den tolags taktikken med å kryptere offerets filer og true med å lekke dataene offentlig. Ofrene instrueres vanligvis til å betale løsepengene med Bitcoin eller en annen kryptovaluta.

Hvem står bak løsepengeviruset cl0p?

Men hvem er løsepengeviruset cl0p? Løsepengeviruset cl0p antas å ha blitt utviklet av en russisktalende nettkriminell gruppe som bruker løsepengeviruset som en tjeneste og hovedsakelig er motivert av økonomisk gevinst. Gruppen er vanligvis kjent som TA505, selv om dette ofte brukes om hverandre med navnet FIN11. Imidlertid er det ikke helt klart om de er den samme gruppen, eller om FIN11 er en undergruppe av TA505.

Uansett hvilket navn de går under, opererer denne gjengen produktet sitt med modellen for løsepengevirus som tjeneste. Dermed er cl0p-viruset tilgjengelig for salg på det mørke nettet og kan teknisk sett brukes av hvilken som helst nettkriminell som er villig til å betale for løsepengeviruset.

Løsepengeviruset cl0p: Slik fungerer det

Løsepengevirusgruppen cl0p gjennomfører i hovedsak angrepene sine som en flertrinnsprosess. De er som følger:

1. Angriperne bruker skadelig programvare for å få tilgang til enheter ved hjelp av ulike metoder.
2. De gjennomfører deretter manuell rekognosering på enheten og stjeler dataene de ønsker.
3. På dette tidspunktet starter de krypteringsprogrammet for å låse filer på enhetene ved å endre filtypen, noe som gjør dem ubrukelige. I senere tid, som i tilfellet med angrepene i 2023 gjennom filoverføringsprogramvaren MOVEit, har data blitt stjålet uten at filene ble kryptert.
4. Når offeret prøver å åpne en av de krypterte filene, mottar de et løsepengekrav med instruksjoner om hvordan de skal utføre betalingen.
5. Angriperen bruker «dobbelt utpressing» og truer med å lekke data som er stjålet fra offerets enhet hvis ikke løsepengene blir betalt.
6. Hvis løsepengene blir betalt, mottar offeret en dekrypteringsnøkkel som gjenoppretter filene på enheten deres.

Angripere bruker ulike metoder for å levere løsepengeviruset cl0p til enheter. Disse kan omfatte

• phishing (ved bruk av teknikker for sosial manipulasjon)
• utnyttelse av sårbarheter i programvare
• infiserte e-postvedlegg og lenker
• infiserte nettsteder
• eksponering av eksterne fjerntjenester

Uansett hvilken metode de velger å bruke for å levere cl0p-trojaneren til enheter, opererer angrepet i essens på samme måte. Målet er alltid å motta løsepenger fra offeret. Imidlertid tar angriperen i mange tilfeller imot betalingen og slutter å svare. I slike tilfeller mottar offeret ikke dekrypteringsnøkkelen og kan ikke gjenvinne tilgangen til filene sine.

Forebygging av løsepengeviruset cl0p

Det er avgjørende for alle enhetsbrukere å følge grunnleggende forholdsregler for datamaskinsikkerhet for å unngå en cl0p-infeksjon. Generelt sett er dette de samme prinsippene som gjelder for å forebygge alle typer nettangrep. Her er noen eksempler:

• Inkluder skadeprogramtrusler i opplæringen om organisatorisk sikkerhetsbevissthet for å sikre at ansatte holder seg oppdatert om de nyeste truslene og forebyggende tiltak – Kaspersky Automated Security Awareness Platform kan være et nyttig verktøy.
• Beskytt selskapets data, inkludert begrensning av tilgangskontroller.
• Ikke bruk eksterne skrivebordstjenester via offentlige nettverk – hvis nødvendig, bruk sterke passord for disse tjenestene.
• Alltid sikkerhetskopier data og lagre det på et atskilt sted, for eksempel i skylagring eller på eksterne harddisker i administrative systemer.
• Hold alle programvarer og applikasjoner, inkludert operativsystemer og serverprogramvarer, oppdatert for å sikre at de nyeste sikkerhetsoppdateringene er installert. Det er spesielt viktig å umiddelbart installere oppdateringer for kommersielle VPN-løsninger som gir ansatte ekstern tilgang til organisasjonens nettverk. Automatiske oppdateringer og installasjoner planlagt utenfor kontortid kan være nyttige her.
• Hold deg oppdatert på de nyeste trusselvurderingsrapportene.
• Bruk programvareløsninger som Kaspersky Endpoint Detection eller Kaspersky Managed Detection and Response Service for tidlig trusseloppdagelse for å identifisere og stoppe angrep i de tidlige stadiene.
• Bruk pålitelige løsninger for endepunktsikkerhet. Kaspersky endepunktsikkerhet for bedrifter inneholder forhindring av utnyttelse, atferdregistrering ved bruk av kunstig intelligens og trusselvurderinger av eksperter, reduksjon av angrepsflater og en utbedringsmotor som kan tilbakestille skadelige handlinger.

Håndtering av løsepengeviruset cl0p

Når en enhet er infisert med cl0p-viruset, er det dessverre veldig lite som kan gjøres for å få tilgang til filene igjen. Som med alle typer løsepengevirusangrep er den generelle anbefalingen å ikke betale de etterspurte løsepengene. Dette er fordi angriperne ofte ikke gir dekrypteringsnøkkelen etter å ha mottatt løsepengene. Selv om de gjør det, gjør suksessen at de får tilliten og oppmuntringen de trenger for å fortsette disse angrepene mot andre intetanende ofre.

I stedet for å betale løsepengene er det vanligvis best å kontakte myndighetene for å rapportere angrepet og starte en etterforskning. Det er også mulig å bruke ett av de mange tilgjengelige programmene til å skanne enheten og fjerne CL0P-løsepengeviruset. Dette gjenoppretter imidlertid ikke filer som ble kryptert under angrepet. Det er derfor viktig å lage regelmessige sikkerhetskopier og lagre dem på et annet sted – for eksempel på en ekstern harddisk eller i skyen – slik at de fortsatt er tilgjengelige i tilfelle et angrep skulle finne sted.

Forsiktighet er alltid viktig når det gjelder datamaskinsikkerhet. Det er viktig å være oppmerksom når du surfer på internett og laster ned, installerer og oppdaterer programvare.

Cl0p-trusselen

Løsepengeviruset cl0p, som andre typer virus og skadelig programvare, er en vedvarende nettsikkerhetstrussel i et samfunn som nå i stor grad er digitalt. Cl0p-viruset er en svært spesifikk trussel blant en overflod av utpressingsprogrammer, men den er spesielt bekymringsfull for bedrifter og organisasjoner. Selv om det kan ha alvorlige konsekvenser for ofrene, finnes det forebyggende tiltak og sikkerhetsforanstaltninger som kan implementeres for å minimere risikoen for angrep fra cl0p eller redusere effektene i tilfelle et angrep skulle skje.

Relaterte artikler:

• Slik velger du en antivirusløsning
• Hvordan fungerer datavirus?
• Løsepengevirusangrep og -typer: Slik skiller krypteringstrojanere seg fra hverandre

Relaterte produkter og tjenester:

• Kaspersky Password Manager
• Kaspersky Endpoint Security Cloud
• Kaspersky Premium