Die Clop-Ransomware ist Teil der berüchtigten Cryptomix-Familie, die Systeme mit Sicherheitslücken ins Visier nimmt. Die Clop-Ransomware kann Dateien verschlüsseln und die Erweiterung .Clop anhängen. Ihr Name leitet sich vom russischen Wort „Klop“ ab, was „Wanze“ bedeutet – ein Insekt aus der Familie der Cimicidae, das nachts Menschenblut saugt.
Diese Ransomware wurde erstmals 2019 von Michael Gillespie beobachtet. Kürzlich war sie an der Ausnutzung von Sicherheitslücken in MOVEit Transfer und MOVEit Cloud beteiligt, um von verschiedenen Unternehmen ein Lösegeld von 500 Millionen Dollar zu erpressen.
Was ist die Clop-Ransomware?
Die Clop-Ransomware ist eine Art Malware, die Dateien auf dem System des Opfers verschlüsselt und sie unzugänglich macht, bis den Hackern ein Lösegeld gezahlt wird. Sie ist für ihre doppelte Erpressungsstrategie bekannt, was bedeutet, dass die Angreifer zusätzlich zur Verschlüsselung der Dateien sensible und vertrauliche Informationen vom Gerät oder Netzwerk des Opfers stehlen. Wenn das Lösegeld nicht gezahlt wird, drohen sie damit, die gestohlenen Daten zu veröffentlichen, was zu schwerwiegenden Datenschutzverletzungen und Imageschäden für Unternehmen und Einzelpersonen führen kann.
Die Clop-Ransomware wird oft über Phishing-E-Mails, schädliche Anhänge oder durch die Ausnutzung von Zero-Day-Schwachstellen in Software verbreitet. Sobald sie ein System infiziert hat, sucht sie nach wichtigen Dateien und verschlüsselt diese. Dann verlangt sie eine Lösegeldzahlung, normalerweise in Kryptowährung, im Austausch für einen Entschlüsselungsschlüssel.
Zu den häufigen Indikatoren für die Clop-Ransomware gehören Verschlüsselungserweiterungen, Datei-Hashes und IP-Adressen. Die Angreifer benennen die betroffenen Dateien mit einer der Erweiterungen .clop oder .CIop (großes I anstelle des kleinen L) um. Außerdem werden die Lösegeldforderungen als ClopReadMe.txt oder CIopReadMe.txt (großes I anstelle des kleinen L) gespeichert.
Wie funktioniert die Clop-Ransomware?
Die Clop-Ransomware geht strategisch vor, damit sie unentdeckt bleibt. So läuft sie ab:
[Bild: Clop-Ransomware]
- Infektionsvektor
Die Clop-Ransomware beginnt damit, Systeme durch den Versand von Phishing-E-Mails mit infizierten Downloads oder Links, das Einschleusen von Malware, die Installation von Exploit-Kits usw. zu infiltrieren. Eine weitere gängige Taktik ist der Versand von E-Mails mit schädlichen HTML-Anhängen, die das Opfer zu einem makroaktiven Dokument führen. Dies hilft dabei, den Get2-Loader zu installieren, der den Download infizierter Tools und Programme wie SDBOT, FlawedAmmyy und Cobalt Strike unterstützt.
- Initiale Kompromittierung
Nachdem sie Zugriff erlangt hat, führt die Ransomware ihre Nutzlast aus und beginnt mit ihren böswilligen Operationen auf dem kompromittierten Gerät oder Netzwerk. Wahrscheinlich wird sie sich lateral innerhalb des Netzwerks ausbreiten, um andere Systeme und Server zu infizieren.
- Datei-Verschlüsselung
Sie verwendet einen starken Verschlüsselungsalgorithmus, um Dateien auf dem System des Opfers zu verschlüsseln. Dazu gehören auch kritische Daten wie Dokumente, Bilder, Datenbanken und andere Dateien, die für das Opfer von entscheidender Bedeutung sein könnten. Dadurch erlangen sie die Kontrolle über die Daten und üben Druck auf das Opfer aus, schnell ein Lösegeld zu zahlen.
- Umbenennung von Dateien
Die verschlüsselten Dateien werden oft mit einer bestimmten Erweiterung wie „.clop“ umbenannt, so dass sie leicht als von Clop verschlüsselt erkennbar sind.
- Lösegeldforderung
Die Clop-Ransomware hinterlässt in der Regel eine Lösegeldforderung in jedem Ordner mit verschlüsselten Dateien. Diese Notiz enthält Anweisungen für das Opfer, wie es das Lösegeld (normalerweise in Kryptowährung) zahlen kann, um den Entschlüsselungsschlüssel zu erhalten.
- Datenexfiltration und doppelte Erpressung
Zusätzlich zur Verschlüsselung von Dateien für ein Lösegeld stehlen die Angreifer sensible Daten und drohen dem Opfer damit, die Informationen zu veröffentlichen, wenn das Lösegeld nicht innerhalb der vorgegebenen Frist gezahlt wird. Sie können das Opfer auch einschüchtern, indem sie sagen, dass sie die gestohlenen Daten an Wettbewerber oder im Darkweb verkaufen werden, um zusätzlichen Druck auszuüben.
- Persistenz und Verschleierung
Die Clop-Ransomware kann versuchen, sich dauerhaft im System zu etablieren, indem sie Hintertüren erstellt oder Systemeinstellungen ändert. Sie kann auch Techniken einsetzen, um einer Erkennung durch Antiviren-Software oder Sicherheitstools zu entgehen.
- Lösegeldverhandlungen
Wie bereits erwähnt, hinterlassen die Angreifer eine Lösegeldforderung, die dann auch als Kommunikationsmittel dient (hauptsächlich über einen TOR-basierten Chat oder E-Mail), damit die Opfer das Lösegeld verhandeln und Anweisungen zum Entschlüsseln der Geiseldaten erhalten können.
Was tun, wenn man bereits Opfer eines Clop-Ransomware-Angriffs wurde?
Wenn Sie auf Indikatoren der Clop-Ransomware stoßen, isolieren Sie die infizierten Systeme und Netzwerke umgehend, um eine weitere Ausbreitung und Verschlimmerung der Situation zu verhindern. Ermitteln Sie das Ausmaß des Angriffs. Identifizieren Sie, welche Systeme und Daten verschlüsselt wurden und ob Daten exfiltriert wurden. Dokumentieren Sie Ihre Ergebnisse, da Sie diese Informationen möglicherweise für Versicherungsansprüche oder Anzeigen bei den Strafverfolgungsbehörden benötigen.
Der Umgang mit all dem kann kompliziert sein, daher ist es ratsam, professionelle Hilfe in Anspruch zu nehmen. Sie müssen den Angriff auch den Strafverfolgungsbehörden melden. Sie können Unterstützung leisten, weitere Angriffe verhindern und möglicherweise die Täter aufspüren.
Wir empfehlen Ihnen auch, Beweise für die Ausnutzung zur weiteren Untersuchung aufzubewahren. Dazu gehören normalerweise Protokolle und Lösegeldforderungen.
Die meisten Unternehmen erstellen Backups, und wenn Sie dazugehören, können Sie die Daten nach der Bereinigung Ihres Systems wiederherstellen, sodass keine Möglichkeit einer Reinfektion besteht. Wenn die Angreifer keine doppelte Erpressung anwenden, kann die Wiederherstellung der Backups ein Rettungsanker sein!
Präventionsstrategien gegen die Clop-Ransomware
Angesichts der Schäden, die sie anrichten kann, ist es umso wichtiger, in Ihrer Organisation einige vorbeugende Maßnahmen zu ergreifen, um Angriffe mit der Clop-Ransomware und ähnlichen Bedrohungen zu verhindern:
[Bild: Clop-Ransomware]
- Gepatchte Software und Geräte
Ungepatchte Software und Geräte sind leicht angreifbar, und genau das lieben Angreifer. Die Schwachstellen solcher Software und Geräte sind gut dokumentiert, was den Angreifern einen Vorteil verschafft, da sie keine neuen Eintrittswege finden müssen. Sie nutzen einfach das, was bereits bekannt ist!
Mit der Einführung von Cybercrime-as-a-Service (CaaS) gibt es viele Tools zu günstigen Preisen, von denen bekannt ist, dass sie bestimmte Arten ungepatchter Software ausnutzen. Das ist ein weiterer guter Grund für Angreifer, Ihre nicht aktualisierten Systeme ins Visier zu nehmen. Vernachlässigen Sie also keine Update-Benachrichtigungen.
- Schulung der Mitarbeiter
Sie können unmöglich alle Geräte, Systeme, Netzwerke, Dateien, E-Mails usw. im Auge behalten, um Anzeichen der Clop-Ransomware zu erkennen. Schulen Sie daher Ihre Mitarbeiter unabhängig von ihrer Abteilung darin, die Hinweise auf Angriffe zu lesen. Denken Sie daran, dass Ihre Mitarbeiter bei Social-Engineering-Angriffen Ihre erste Verteidigungslinie sind!
Planen Sie regelmäßige Meetings, um sie über die Sicherheit von Geräten, Software-Updates und Datenschutz aufzuklären. Sie sollten wissen, wie sie verdächtige oder potenziell gefährliche Aktivitäten der richtigen Person melden. Wenn Ihr Team remote arbeitet, schulen Sie es außerdem in den Sicherheitsrichtlinien für Heimnetzwerke und -geräte wie der Verwendung von VPNs und sicheren WLAN-Verbindungen.
Mehr als alles andere sollten Sie die Verwendung von Passwort-Managern, die Einrichtung starker, einzigartiger Passwörter und dass diese nicht weitergegeben oder aufgeschrieben werden, fördern.
- Netzwerksegmentierung
Die Netzwerksegmentierung ist eine Cybersicherheitsstrategie, bei der ein Netzwerk in kleinere, isolierte Segmente unterteilt wird, die durch Sicherheitsmaßnahmen wie Firewalls getrennt sind. Dieser Ansatz hilft dabei, sich gegen Ransomware-Angriffe zu schützen, indem die Möglichkeit einer Ausbreitung des Angriffs über das gesamte Netzwerk begrenzt wird.
Wenn die Clop-Ransomware ein Segment infiziert, kann die Netzwerksegmentierung den Schaden eingrenzen und verhindern, dass sie sich auf andere Teile des Netzwerks ausbreitet. Durch die Überwachung kleinerer Netzwerksegmente können Sicherheitsteams Bedrohungen außerdem effektiver erkennen und darauf reagieren.
- E-Mail-Filterung
E-Mail-Filter überprüfen eingehende E-Mails auf schädliche Downloads, Links oder Ransomware-Nutzlasten und blockieren deren Eintritt. Neuere Versionen von E-Mail-Filtertools können das Benutzerverhalten analysieren, um Anomalien zu erkennen und zu melden.
- Sandboxing
Beim Sandboxing werden potenziell riskante Anwendungen oder Codes in einer kontrollierten, isolierten Umgebung namens Sandbox ausgeführt. Eine Sandbox ist vollständig vom Kern der technischen Umgebung getrennt. Sie ermöglicht die sichere Ausführung und Testung potenziell schädlicher Codes.
Mit dieser Methode können Sicherheitsteams auch das Verhalten der Ransomware studieren und Gegenmaßnahmen entwickeln. Mithilfe von Sandboxing können Organisationen Ransomware-Bedrohungen effektiv erkennen und blockieren, bevor Schäden entstehen.
Da E-Mail ein häufig genutzter Angriffsvektor für Cyberangriffe und Ransomware ist, ist es unerlässlich, sie zu schützen. Unser DMARC-Analyzer ist eine All-in-One-Lösung für Ihre E-Mail-Sicherheitsbedürfnisse! Probieren Sie ihn aus, indem Sie eine kostenlose Testversion für Ihre Domain starten.