近年来,cl0p 勒索软件已成为一种重大的网络安全威胁,给全球众多组织和行业造成了重大损失。虽然 cl0p 病毒攻击的运作方式与其他勒索软件攻击类似,但也有一些不同之处。
cl0p 到底是什么样的勒索软件,这类攻击又是如何运作的?也许更重要的是需要知道,组织可以采取哪些措施来最大程度地降低遭到这类攻击的几率以避免重大经济损失?
CL0P 勒索软件的发展简史
Cl0p(有时写成 cl0p,其中的“0”是数字零)是一种勒索软件,即勒索型恶意软件。虽然两者并不完全相同,但 cl0p 勒索软件被认为是在更早出现的 CryptoMix 恶意软件的基础上演化而来的。不过到了今天,这种木马已经历了多次迭代,新版本总是很快取代旧版本。
2019 年 2 月,安全研究人员在分析一次大规模鱼叉式网络钓鱼攻击时发现了 cl0p。由于 cl0p 会破坏受害者设备上的文件并勒索钱财,无论过去还是现在,它都是各类企业和组织面临的重大网络安全威胁。事实上,据信 cl0p 勒索软件团伙已经利用其特定的恶意软件,从全球能源集团、多所主要大学、BBC、英国航空公司和多个政府机构勒索到钱财。
2020 年,cl0p 勒索软件团伙利用 Kiteworks(前身为 Accellion)私有内容网络的漏洞实施了一次攻击,以该平台的客户为目标,渗透他们的网络。然而,此次攻击并未部署 cl0p 恶意软件本身。与此同时,cl0p 木马的制造者发起了双重勒索计划,将通过大规模破坏性攻击从一家制药公司窃取的数据泄露出去。
之后在 2021 年,SolarWinds(一家为各类企业提供 IT 管理服务的软件公司)和 Swire Pacific Offshore(一家总部位于新加坡的海洋服务提供商)遭了到攻击。
2023 年,cl0p 变得更加猖狂。2023 年 1 月至 6 月,该木马被用于攻击各行各业的受害者,商业服务领域是头号目标,其次是软件和金融业。许多受害者位于北美和欧洲,其中美国遭受的攻击次数最多,远超其他国家和地区。
攻击的规模很大,有 2,000 多家组织报告称受到影响,有 6,200 多万人的数据遭到泄露,受害者主要是在美国。
cl0p 团伙利用 MOVEit 文件传输软件漏洞 (CVE-2023-34362) 发起的一系列勒索软件攻击达到了顶峰:攻击者声称已入侵数百家公司,并发出了最后通牒,要求在 6 月 14 日前支付赎金。这种零日攻击可以大量下载组织数据,包括各种机密信息。美国执法部门决定悬赏 1,000 万美元征集有关 cl0p 的信息。
什么是 cl0p
cl0p 究竟是什么呢?针对 cl0p 勒索软件的分析表明,它是 CryptoMix 勒索软件的一种变体。与它所基于的恶意软件一样,cl0p 病毒也会感染目标设备。不过,在这种情况下,这类勒索软件会将所有文件重命名为带有 .cl0p 扩展名的文件,并对它们进行加密,使其无法使用。
为了有效实施攻击,cl0p 勒索软件采用了 Win32 PE(可移植的可执行文件)格式的可执行文件。最重要的是,研究人员发现 cl0p 病毒的可执行文件带有经过验证的签名,这给它披上了合法的外衣,有助于恶意软件避开安全软件的检测。cl0p 会使用 RS4 流密码将文件加密,然后使用 RSA 1024 来加密 RC4 密钥。在感染这类勒索软件时,设备上的所有文件都会受到威胁,包括图片、视频、音乐和文档。
将文件加密后,cl0p 病毒会向受害者发出攻击者提出的赎金要求。如果不支付赎金,攻击者会威胁要泄露这些文件中的数据。这就是所谓的“双重勒索”,其特点是采用了双层攻击策略,即加密受害者的文件以及威胁公开数据。受害者通常会被要求用比特币或其他加密货币支付赎金。
谁是 cl0p 勒索软件的幕后黑手
cl0p 勒索软件的幕后黑手是谁?据信,cl0p 勒索软件是由一个讲俄语的“勒索软件即服务”网络犯罪团伙开发的,其主要动机是获取经济利益。该团伙通常被称为 TA505,但这一名称常常与 FIN11 混用。但目前尚未确定它们是否是同一个团伙,或者说 FIN11 是否隶属于 TA505。
无论使用哪个名称,这类 cl0p 勒索软件团伙以“勒索软件即服务”模式运作其产品。也就是说,cl0p 病毒会在暗网上出售。任何愿意付费购买的网络犯罪分子都可以使用该病毒。
cl0p 勒索软件:它是如何运作的
cl0p 勒索软件团伙一般是通过多个步骤实施攻击的。这些步骤是:
- 攻击者使用恶意软件并通过各种方法获得目标设备的访问权限。
- 然后,他们手动对设备进行侦查,并窃取他们想要的数据。
- 此时,他们会启动加密程序,通过更改文件的扩展名来锁定目标设备上的文件,使这些文件无法使用。最近,在 2023 年通过文件传输软件 MOVEit 实施的攻击中,攻击者在没有将文件加密的情况下成功窃取了数据。
- 当受害者试图打开其中一个加密文件时,他们会收到一封勒索信,其中给出了关于如何支付赎金的说明。
- 攻击者使用“双重勒索”的手段,威胁称如果不支付赎金,就会泄露从受害者设备上窃取的数据。
- 只要支付了赎金,受害者就会收到解密密钥,从而恢复设备上的文件。
攻击者会使用各种方法将 cl0p 勒索软件植入到目标设备。这可能包括:
- 网络钓鱼(使用社会工程手段)
- 利用软件漏洞
- 受感染的电子邮件附件和链接
- 受感染的网站
- 破坏外部远程服务
无论通过哪种方法将 cl0p 木马植入到目标设备,最终的攻击运作方式都基本相同。攻击目的都是向受害者索取赎金。然而,在很多情况下,攻击者收到赎金后就会“消失”。在这些情况下,受害者收不到解密密钥,也就无法重新访问他们的文件。
防范 cl0p 勒索软件
所有设备用户都必须遵守基本的计算机安全规定,以避免感染 cl0p。一般来说,这些原则同样适用于防范各类网络攻击,例如:
- 在组织安全意识培训纳入恶意软件威胁,确保员工了解最新威胁和防范措施 – 卡巴斯基自动化安全意识平台就是一个非常有用的工具。
- 保护公司数据,包括限制访问的控制措施。
- 尽量不要使用公共网络访问远程桌面服务。如必须使用,则为这些服务使用强密码。
- 始终备份数据并将其存储在单独的位置,如云存储或外置硬盘(存放在非公共区域)。
- 及时更新所有软件和应用程序,包括操作系统和服务器软件,确保安装最新的安全补丁。切记,对于员工用于远程访问组织网络的商用 VPN 解决方案,要立即安装其补丁;将自动更新和安装安排在非办公时间进行可能会更方便。
- 随时了解最新的威胁情报报告。
- 使用 Kaspersky Endpoint Detection 或卡巴斯基托管检测与响应服务等软件解决方案进行早期威胁检测,以便在早期阶段识别和阻止攻击。
- 使用值得信赖的端点安全解决方案 - 卡巴斯基网络安全解决方案,实现漏洞入侵防护、基于人工智能和专家威胁情报的行为检测、攻击面减少以及可撤销恶意操作的修复引擎等功能。
应对 cl0p 勒索软件病毒
不幸的是,一旦设备感染了 cl0p 病毒,就很难恢复对文件的访问。与任何类型的勒索软件攻击一样,一般建议不要支付攻击者要求的赎金。这是因为攻击者在收到赎金后通常不会提供解密密钥。即使他们提供了解密密钥,攻击得逞也会给他们信心和鼓励,让他们继续攻击其他毫无戒心的受害者。
与其支付赎金,不如联系当局报告攻击事件并开始调查。您也可以从很多常用的软件中挑选一个来扫描设备并移除 cl0p 勒索软件。但是,这并不能恢复在攻击期间被加密的文件。因此,定期创建备份并将其存储在单独的位置(如外置硬盘或云端)非常重要,这样在受到攻击时,文件仍可使用。
当涉及到计算机安全时,始终保持警惕是至关重要的。在浏览互联网以及下载、安装和更新软件时一定要谨慎。
cl0p 的威胁
cl0p 勒索软件与其他类型的病毒和恶意软件一样,是当今数字化社会中持续存在的一种网络安全威胁。在众多勒索型恶意软件中,cl0p 病毒是一种非常特殊的威胁,但也是企业和组织需要特别关注的一种威胁。虽然它可能会对受害者造成严重影响,但我们可以采取一些防范和保障措施,尽量降低受到 cl0p 病毒攻击的风险,或者在受到攻击时减轻其带来的影响。
相关文章:
相关产品和服务:
