近年來,cl0p 勒索軟件已成為一種主要的網絡安全威脅,對全球廣泛機構和行業造成重大損失。雖然 cl0p 病毒攻擊的運作方式整體上類似其他勒索軟件攻擊,但也有一些具體的不同之處。
但是,到底甚麼是勒索軟件 cl0p 呢,這些攻擊是如何運作?也許更重要的是,機構可以做些甚麼來儘量避免成為這些攻擊的受害者?
CL0P 勒索軟件簡史
Cl0p(有時寫成 cl0p,數字為 0)是一種勒索軟件或敲詐勒索型惡意軟件。雖然與 CryptoMix 並不完全相同,但 Cl0p 勒索軟件被認為是以比它更早出現的這種惡意軟件為藍本。不過,現在這種木馬程式已經歷了多次迭代演變,新版本很快已取代以前的版本。
Cl0p 是安全研究人員於 2019 年 2 月在一次大規模魚叉式網絡釣魚攻擊後發現的。由於它破壞受害者設備上的檔案並勒索贖金的方式,所以它過去、現在仍然是各類型企業和機構的主要網絡安全威脅。事實上,相信 cl0p 勒索軟件組織已經利用其特定的惡意軟件向一些全球能源集團、數間主要大學、英國廣播公司、英國航空公司和多個政府機構勒索贖金。
2020 年,cl0p 勒索軟件組織利用 Kiteworks(前稱 Accellion)私有內容網絡中的漏洞進行了一次攻擊,而目標是該平台的客戶並滲透其網絡,不過,在這次攻擊中並未採用 clop 惡意軟件。與此同時,cl0p 木馬程式的始創者發起了一個雙重勒索計劃,在一次大規模破壞性攻擊中洩露了從一間製藥公司竊取的數據。
之後在 2021 年,SolarWinds(一間為各類型企業提供 IT 管理的軟件公司)和 Swire Pacific Offshore(一間總部位於新加坡的海洋服務提供商)也遭到了攻擊。
與前幾年相比,2023 年 Clop 的活動激增。2023 年 1 月至 6 月,該木馬程式被用於攻擊各行各業的受害者,其中以商業服務業居首,其次是軟件和金融業。許多受害者都位於北美和歐洲,其中美國出現的攻擊次數最多。
這波攻擊規模巨大,有 2,000 多間機構報告了事件,影響人數達 6,200 多萬人,而他們的資料主要是在美國洩露。
Cl0p 組織透過 MOVEit 檔案傳輸軟件的漏洞(CVE-2023-34362)發起的一系列勒索軟件攻擊達到了頂峰:攻擊者聲稱已入侵數百間公司,並發出了最後通牒指示最遲必須在 6 月 14 日支付贖金。該零日漏洞披露大量可供下載的企業資料,包括各種機密資訊。美國執法部門決定懸賞 1000 萬美元徵集有關 Cl0p 的資訊。
甚麽是 Cl0p?
那麽,甚麽是 Cl0p?對 Cl0p 勒索軟件的分析顯示它是一種 CryptoMix 勒索軟件的變體。與其所基於的惡意軟件一樣,cl0p 病毒會感染目標設備。不過,在這種情況下,此勒索軟件會重新命名所有檔案的副檔名為 .cl0p,並進行加密而令這些檔案無法使用。
為了有效實施攻擊,cl0p 勒索軟件採用了 Win32 PE(可攜式可執行檔)格式的可執行檔。最重要的是,研究人員發現 cl0p 病毒的可執行檔帶有經過驗證的簽名,從而為它披上了合法的外衣,令惡意軟件能逃避安全軟件的偵測。Cl0p 會使用 RS4 串流加密法對檔案進行加密,然後使用 RSA 1024 將 RC4 金鑰加密。在這種勒索軟件感染的過程中,設備上的所有檔案都會受到威脅,包括圖片、影片、音樂和文檔。
在加密檔案後,cl0p 病毒的攻擊者會向受害者索要贖金。如果不支付贖金,攻擊者就威脅會洩露這些檔案中的資料。這就是所謂的「雙重勒索」,因為採用了雙層策略,即感染受害者的檔案,然後威脅公開洩露資料。受害者通常會被要求用比特幣或其他加密貨幣支付贖金。
誰是 cl0p 勒索軟件的幕後黑手?
誰是 Cl0p 勒索軟件的主人?據信,Cl0p 勒索軟件是由一個講俄語的勒索軟件即服務網絡犯罪組織開發的,其主要動機是獲取經濟利益。該組織通常被稱為 TA505,但這個名稱經常與 FIN11 互換使用。不過,仍不完全清楚它們是否同一個組織,還是 FIN11 是 TA505 的一個子集。
無論名稱為何,cl0p 勒索軟件組織都是以勒索軟件即服務的模式營運其產品。因此,cl0p 病毒可在暗網上出售,從技術上講,任何願意付款購買的網絡犯罪分子都可以使用它。
Cl0p 勒索軟件:運作原理
cl0p 勒索軟件組織的攻擊基本上可分為多個步驟。這些是:
- 攻擊者使用惡意軟件透過各種方法存取目標設備。
- 然後,他們會以手動方式對設備進行偵查,並竊取他們想要的資料。
- 此時,他們會啟動加密程式,透過更改副檔名來鎖住目標設備上的檔案,令其無法使用。最近,就像 2023 年透過檔案傳輸軟件 MOVEitInsert 進行的攻擊一樣,資料在檔案沒有被加密的情況下被盜取了。
- 當受害者試圖打開其中一個加密檔案時,他們會收到一個要求支付贖金的留言,指示如何支付贖金。
- 攻擊者使用「雙重勒索」,威脅如果不支付贖金,就會洩露從受害者設備中竊取的資料。
- 如果支付了贖金,受害者就會收到解密金鑰,可恢復設備上的檔案。
攻擊者使用各種方法向目標設備發送 cl0p 勒索軟件。這些方法可能包括:
- 網絡釣魚(使用社交工程技巧)
- 利用軟件漏洞
- 受感染的電子郵件附件和連結
- 受感染的網站
- 入侵外部遙距服務
無論他們選擇哪種方法向目標設備發送 cl0p 木馬程式,所造成的攻擊都是以基本相同的方式進行。其目的永遠都是向受害者收取贖金。但是在許多情況下,攻擊者在收到付款後就不再回應。在這種情況下,受害者收不到解密金鑰,也就無法重新存取他們的檔案。
預防 CL0P 勒索軟件
所有設備使用者都必須遵守基本的電腦安全規定,從而避免感染 cl0p。一般來說,這些原則同樣適用於預防所有類型的網絡攻擊,例如:
- 將惡意軟件威脅加入機構的安全意識培訓中,確保員工瞭解最新威脅和預防措施 - Kaspersky 自動安全意識平台就是一個有用的工具。
- 保護公司資料,包括制定存取限制。
- 不要使用公共網絡存取遙距桌面電腦服務 - 如需要使用,則為這些服務使用強密碼。
- 永遠備份資料並將其儲存在單獨的位置,例如雲端儲存空間或後台辦公室的外置硬碟。
- 及時更新所有軟件和應用程式,包括操作系統和伺服器軟件,確保安裝了最新的安全修補程式 - 尤其重要的是,要立即為可讓員工以遙距方式存取機構網絡的商用 VPN 解決方案安裝修補程式;可以在非辦公時間安排自動更新和安裝。
- 瞭解最新的威脅情報報告。
- 使用 Kaspersky 端點偵測或 Kaspersky 託管偵測和回應服務等軟件解決方案進行早期威脅偵測,從而在早期階段識別和阻止攻擊。
- 使用值得信賴的端點安全解決方案 - Kaspersky 企業端點安全解決方案包括預防漏洞被利用、使用人工智能和專家威脅情報來偵測行為、減少攻擊面以及可將惡意行為所造成的後果復原的補救引擎。
應對 CL0P 勒索軟件病毒
一旦設備感染了 cl0p 病毒,很不幸,很難恢復對檔案的存取。與任何類型的勒索軟件攻擊一樣,一般建議是切勿支付所要求的贖金。這是因為攻擊者在收到贖金後通常不會提供解密金鑰。即使他們提供了,成功的攻擊也會助長他們的信心,鼓勵他們繼續對其他毫無戒心的受害者進行攻擊。
與其支付贖金,通常最好的做法是聯絡當局報告攻擊並開始調查。也可以使用其中一種廣泛使用的軟件來掃描設備並刪除 CL0P 勒索軟件。但是,這並不能恢復在攻擊期間被加密的檔案。因此,定期建立備份並將其儲存在分開的位置(例如外置硬碟或雲端)非常重要,這樣便可以在受到攻擊時仍可存取這些檔案。
在涉及電腦安全時,謹慎行事永遠都是十分重要的。在瀏覽互聯網、下載、安裝和更新軟件時一定要注意。
Cl0p 的威脅
Cl0p 勒索軟件與其他類型的病毒和惡意軟件一樣,是當今社會中一種長期存在的網絡安全威脅。Cl0p 病毒是眾多勒索型惡意軟件中的一種非常特殊威脅,但也是企業和機構特別關注的一種威脅。雖然它可能對受害者產生嚴重影響,但可以採取一些預防和保障措施,盡量將 cl0p 攻擊的風險降至最低,或在發生攻擊時減輕影響。
相關產品和服務:
