CL0P-utpressningsprogram: Vad är det, och hur fungerar det?

Under de senaste åren har cl0p-utpressningsprogram blivit ett stort cybersäkerhetshot som har orsakat betydande skador för ett stort antal organisationer och branscher världen över. Även om cl0p-virusattacker i allmänhet fungerar på ett liknande sätt som andra angrepp med utpressningsprogram finns det vissa specifika skillnader.

Men vad är egentligen cl0p-utpressningsprogram, och hur fungerar dessa angrepp? Och, mer relevant, vad kan organisationer göra för att minimera risken för att falla offer för dessa angrepp som kan ha betydande ekonomiska konsekvenser?

En kort historik över CL0P-utpressningsprogram

Cl0p – ibland skrivet cl0p med en nolla – är en typ av utpressningsprogram. Även om det inte är exakt samma som CryptoMix, tros utpressningsprogrammet cl0p ha modellerats på denna föregångare av skadlig programvara. Nu har trojanen dock gått igenom flera iterationer och nya versioner ersätter snabbt tidigare.

Cl0p upptäcktes av säkerhetsforskare i februari 2019 i kölvattnet av en stor riktad nätfiskeattack. Det var – och är fortfarande – ett stort cybersäkerhetshot mot alla typer av företag och organisationer på sättet som det förstör filer på offrens enheter och pressar fram ekonomiska betalningar. Faktum är att man tror att utpressningsligan bakom cl0p med hjälp av sin specifika skadliga kod har har krävt pengar från globala energikonglomerat, flera stora universitet, BBC, British Airways och olika statliga myndigheter.

Under 2020 genomförde utpressningsligan cl0p en attack för att utnyttja sårbarheter i Kiteworks’ (tidigare Accellion) privata innehållsnätverk för att rikta in sig på plattformens kunder och infiltrera deras nätverk – dock användes inte själva clop-programvaran i denna attack. Samtidigt lanserade upphovsmännen till cl0p-trojanen ett dubbelt utpressningsprogram och läckte data som stulits från ett läkemedelsföretag i en enormt destruktiv attack.

Detta följdes under 2021 av attacker mot SolarWinds, ett mjukvaruföretag som erbjuder IT-hantering åt olika företag, och Swire Pacific Offshore, en leverantör av marina tjänster i Singapore.

Under 2023 ökade Clops aktivitet kraftigt jämfört med tidigare år. Mellan januari och juni 2023 användes trojanen för att attackera offer inom olika branscher; i första hand inom affärstjänster, följt av mjukvaru- och finansföretag. Många av offren fanns i Nordamerika och Europa, med USA som det land som drabbades av det största antalet attacker med en stor marginal.

Attacken hade en betydande omfattning; över 2 000 organisationer rapporterade incidenter vilket utsatte över 62 miljoner individer för dataläckage, främst i USA.

Cl0p-ligans serie av utpressningsattacker genom sårbarheten i MOVEit-filöverföringsprogrammet (CVE-2023-34362) nådde sin kulmen; angriparna påstod sig ha gjort intrång hos hundratals företag och ställde ett ultimatum till den 14 juni. Nolldagen möjliggjorde massnedladdning av organisationers data, inklusive diverse konfidentiell information. Amerikanska brottsbekämpande myndigheter beslutade att utlysa en belöning på 10 miljoner dollar för information om Cl0p.

Vad är Cl0p?

Men, vad är cl0p? En analys av Cl0p-utpressningsprogram visar att det är en variant av CryptoMix-utpressningsprogram. Precis som den skadliga programvaran som det är baserat på infekterar cl0p-viruset den utvalda enheten. Men i det här fallet lägger utpressningsprogrammet till .cl0p till namnet på alla filer och krypterar dem och gör dem oanvändbara.

För att effektivt utföra sina attacker följer cl0p-utpressningsprogram Win32 PE-formatet (Portable Executable) för körbara filer. Forskare har upptäckt körbara cl0p-virusfiler med verifierade signaturer som ger dem ett legitimt utseende och hjälper den skadliga programvaran att undgå upptäckt av säkerhetsprogram. Cl0p krypterar sedan filer med RS4-strömchiffer och använder sedan RSA 1024 för att kryptera RC4-nycklarna. Alla filer på en enhet är i riskzonen med denna typ av utpressningsprogram, inklusive bilder, videor, musik och dokument.

Efter att ha krypterat filerna utfärdar cl0p-viruset en lösensumma från angriparen till offret. Om denna lösen inte betalas hotar angriparen att läcka data från dessa filer. Det här är vad som kallas ”dubbel utpressning” då taktiken går ut på att rendera offrets filer och hota med att läcka uppgifterna offentligt. Offren uppmanas vanligtvis att betala lösensumman med Bitcoin eller annan kryptovaluta.

Vem ligger bakom cl0p-utpressningsprogram?

Men vem står bakom utpressningsprogrammet cl0p? Cl0p-utpressningsprogram tros ha utvecklats av en rysktalande cyberkriminell liga som arbetar med utpressningsprogram som en tjänst och som främst motiveras av ekonomisk vinning. Gruppen brukar kallas TA505, men även namnet FIN11 används. Det är dock inte helt klart om det rör sig om samma grupp eller om FIN11 är en undergrupp till TA505.

Oavsett vilket namn de går under, driver detta cl0p-utpressningsprogram sin produkt enligt en modell där utpressningsprogram används som en tjänst. Cl0p-viruset finns alltså till försäljning på den mörka webben och kan tekniskt sett användas av alla nätbrottslingar som är villiga att betala för utpressningsprogrammet.

Cl0p-utpressningsprogram: Hur det fungerar

Cl0p-utpressningsprogrammet utför i huvudsak sina attacker i flera steg. Dessa är:

1. Angriparna använder den skadliga programvaran för att få åtkomst till den utvalda enheten med hjälp av olika metoder.
2. De spanar sedan på enheten manuellt och stjäl de data de vill ha.
3. I detta läge startar de sedan krypteraren för att låsa filer på den utvalda enheten genom att ändra deras tillägg och göra dem oanvändbara. På senare tid, som i attackerna under 2023 med filöverföringsprogrammet MOVEit, har data stulits utan att filerna har krypterats.
4. När offret försöker öppna en av de krypterade filerna får de en uppmaning om att betala en lösensumma, med instruktioner om hur betalningen ska göras.
5. Angriparen använder sig av ”dubbel utpressning” och hotar med att läcka uppgifterna som stulits från offrets enhet om lösensumman inte betalas.
6. Om lösensumman betalas får offret en dekrypteringsnyckel som återställer filerna på enheten.

Angripare använder olika metoder för att leverera cl0p-utpressningsprogrammet till utvalda enheter. Dessa kan inkludera:

• Nätfiske (med hjälp av tekniker genom social manipulation)
• Utnyttjande av sårbarheter i programvaran
• Infekterade e-postbilagor och länkar
• Smittade webbplatser
• Kompromettering av externa fjärrtjänster

Oavsett vilken metod de väljer för att leverera cl0p-trojanen till den utvalda enheten, fungerar den resulterande attacken i huvudsak på samma sätt. Målet är alltid att få en lösensumma från offret. I många fall tar dock angriparen emot betalningen, men slutar svara. I dessa fall får offret inte dekrypteringsnyckeln och kan inte återfå åtkomst till sina filer.

Förebyggande av CL0P-utpressningsprogram

Det är viktigt för alla datoranvändare att följa grundläggande säkerhetsbestämmelser för att undvika en cl0p-infektion. I allmänhet är det samma principer som gäller för att förhindra alla typer av cyberangrepp, t.ex:

• Inkludera hot från skadlig programvara i organisationens utbildning i säkerhetsmedvetenhet för att säkerställa att medarbetarna håller sig uppdaterade om nya hot och förebyggande åtgärder – Kaspersky Automated Security Awareness Platform kan vara ett användbart verktyg.
• Skydda företagsdata, bland annat genom att begränsa åtkomstkontrollerna.
• Försök inte få åtkomst till fjärrskrivbordstjänster via offentliga nätverk – använd vid behov starka lösenord för dessa tjänster.
• Säkerhetskopiera alltid data och förvara dem på en separat plats, t.ex. genom molnlagring eller på externa enheter.
• Håll alla program och applikationer, inklusive operativsystem och serverprogram, uppdaterade för att säkerställa att de senaste säkerhetsuppdateringarna är installerade – det är särskilt viktigt att omedelbart installera uppdateringar för kommersiella VPN-lösningar som möjliggör fjärråtkomst till organisationsnätverk för anställda; automatiska uppdateringar och installationer som schemaläggs utanför kontorstid kan vara användbara här.
• Håll dig uppdaterad om de senaste rapporterna om hotinformation.
• Använd programvarulösningar som Kaspersky Endpoint Detection eller Kaspersky Managed Detection and Response Service för tidig upptäckt av hot för att identifiera och stoppa attacker i ett tidigt skede.
• Använd pålitliga säkerhetslösningar för slutpunkter – Kaspersky Endpoint Security for Business innehåller förebyggande av exploateringar, beteendedetektering med hjälp av AI och expertunderrättelser om hot, minskning av attackytor och en saneringsmotor som kan ångra skadliga åtgärder.

Hantering av CL0P-utpressningsprogram

När en enhet har infekterats med cl0p-viruset finns det tyvärr väldigt lite som kan göras för att återfå åtkomst till filerna. Som med alla typer av angrepp med utpressningsprogram är det allmänna rådet att inte betala den begärda lösensumman. Detta beror på att angriparna ofta inte tillhandahåller dekrypteringsnyckeln efter att de har fått betalningen. Och även om de gör det, ger framgången med angreppet dem självförtroende och uppmuntran att fortsätta med dessa attacker mot andra intet ont anande offer.

Istället för att betala lösensumman är det oftast bäst att kontakta myndigheterna för att rapportera attacken och inleda en utredning. Det är också möjligt att använda en av de många allmänt tillgängliga programvarorna för att söka igenom enheten och ta bort CL0P-utpressningsprogrammet. Det går dock inte att återställa filer som krypterades under attacken. Därför är det viktigt att skapa regelbundna säkerhetskopior och lagra dem på en separat plats – t.ex. på en extern hårddisk eller i molnet – så att de fortfarande är tillgängliga vid en eventuell attack.

Försiktighet är alltid viktigt när det gäller datorns säkerhet. Det är viktigt att vara uppmärksam när du surfar på internet och laddar ner, installerar och uppdaterar programvara.

Hotet från Cl0p

Cl0p-utpressningsprogram, liksom andra typer av virus och skadlig kod, är ett ihållande cybersäkerhetshot i ett samhälle som nu till stor del är digitalt. Cl0p-viruset är ett mycket specifikt hot i ett överflöd av skadlig programvara med utpressningsmetoder, men ett som är särskilt oroande för företag och organisationer. Även om det kan få allvarliga konsekvenser för offren finns det vissa förebyggande åtgärder och skyddsåtgärder som kan implementeras för att försöka minimera risken för eller mildra effekterna vid en cl0p-attack.

Relaterade artiklar:

• Välja en antiviruslösning
• Hur fungerar datorvirus?
• Angrepp med utpressningsprogram, och typer av utpressningsprogram: Hur krypteringstrojaner skiljer sig åt

Relaterade produkter och tjänster:

• Kaspersky Password Manager
• Kaspersky Endpoint Security Cloud
• Kaspersky Premium