Overslaan naar hoofdinhoud

CL0P-ransomware: Wat is het en hoe werkt het?

cl0p ransomware-aanval steelt versleutelde informatie

In de afgelopen jaren is cl0p-ransomware een grote bedreiging voor de cyberveiligheid geworden en heeft het aanzienlijke schade aangericht bij verschillende organisaties en industrieën over de hele wereld. Hoewel cl0p-virusaanvallen over het algemeen op dezelfde manier werken als andere ransomware-aanvallen, zijn er een aantal specifieke verschillen.

Maar wat is ransomware cl0p juist en hoe werken deze aanvallen? Wat misschien nog relevanter is: Wat kunnen organisaties doen om de kans te minimaliseren dat ze het slachtoffer worden van deze aanvallen, om aanzienlijke financiële gevolgen te vermijden?

Een korte geschiedenis van CL0P ransomware

Cl0p, soms geschreven als cl0p, met het nummer nul, is een soort van ransomware of afperser-malware. Hoewel het niet precies hetzelfde is als CryptoMix, wordt aangenomen dat cl0p-ransomware gebaseerd is op deze oudere malware. Deze trojan heeft nu echter verschillende iteraties ondergaan en nieuwe versies vervangen snel de vorige.

Cl0p werd in februari 2019 ontdekt door beveiligingsonderzoekers in de nasleep van een grote spear-phishing-aanval. Het was en blijft een grote bedreiging voor de cyberbeveiliging voor alle soorten bedrijven en organisaties vanwege de manier waarop het bestanden op de apparaten van slachtoffers besmet en financiële betalingen afperst. Er wordt zelfs aangenomen dat de cl0p-ransomwaregroep met behulp van hun specifieke malware geld heeft afgeperst van wereldwijde energieconglomeraten, verschillende grote universiteiten, de BBC, British Airways en verschillende overheidsinstanties.

In 2020 voerde de cl0p-ransomwaregroep een aanval uit om kwetsbaarheden in het private content-netwerk Kiteworks (voorheen Accellion) uit te buiten om de klanten van het platform aan te vallen en hun netwerken te infiltreren. De clop-malware werd hierbij echter zelf niet ingezet bij deze aanval. Tegelijkertijd lanceerden de makers van de cl0p-trojan een dubbel afpersingsplan, waarbij de gegevens lekten die waren gestolen van een farmaceutisch bedrijf in een enorm destructieve aanval.

Dit werd in 2021 gevolgd door aanvallen op SolarWinds, een softwarebedrijf dat IT-beheer aanbiedt aan verschillende bedrijven, en Swire Pacific Offshore, een in Singapore gevestigde maritieme dienstverlener.

In 2023 zagen we een enorme stijging van de activiteit van Clop in vergelijking met voorgaande jaren. Van januari tot juni 2023 werd de trojan gebruikt om slachtoffers in verschillende sectoren aan te vallen. De voornaamste getroffen sector was die van de zakelijke dienstverlening, gevolgd door software en financiën. Veel van de slachtoffers bevonden zich in Noord-Amerika en Europa, waarbij de VS met een aanzienlijk verschil de meeste aanvallen ondervond.

De aanval vond plaats op een aanzienlijke schaal. Meer dan 2.000 organisaties meldden incidenten, met gevolgen voor meer dan 62 miljoen personen van wie de gegevens waren gelekt, voornamelijk in de Verenigde Staten.

De reeks ransomware-aanvallen door de Cl0p-groep via de kwetsbaarheid van de MOVEit-software voor bestandsoverdracht (CVE-2023-34362) bereikte een hoogtepunt. De aanvallers beweerden ingebroken te hebben bij honderden bedrijven en stelden een ultimatum tot 14 juni. Op deze deadline zou het mogelijk worden om massaal gegevens van organisaties te downloaden, waaronder heel wat vertrouwelijke informatie. Amerikaanse wetshandhavingsinstanties besloten een beloning van $ 10 miljoen uit te loven voor informatie over Cl0p.

Wat is Cl0p?

Wat is cl0p eigenlijk? Uit de analyse van de Cl0p-ransomware blijkt dat het een variant is van de CryptoMix-ransomware. Net als de malware waarop het is gebaseerd, infecteert het cl0p-virus het apparaat in kwestie. In dit geval hernoemt de ransomware echter alle bestanden met de extensie .cl0p en versleutelt ze om ze onbruikbaar te maken.

Om de aanvallen doeltreffend te maken, conformeert cl0p-ransomware zich aan het Win32 PE-formaat (Portable Executable) van uitvoerbare bestanden. Wat cruciaal is, is dat onderzoekers uitvoerbare bestanden van het cl0p-virus hebben ontdekt met geverifieerde handtekeningen die het een legitiem uiterlijk geven. Op deze manier wordt detectie door beveiligingssoftware ontweken. Cl0p versleutelt vervolgens bestanden met de RS4-streamcodering en gebruikt RSA 1024 om de RC4-sleutels te versleutelen. Alle bestanden op een apparaat lopen gevaar tijdens dit type ransomware-infectie, inclusief afbeeldingen, video's, muziek en documenten.

Na het versleutelen van de bestanden stuurt het cl0p-virus een eis om losgeld van de aanvaller aan het slachtoffer. Als dit losgeld niet wordt betaald, dreigt de aanvaller de gegevens uit deze bestanden vrij te geven. Dit is wat bekend staat als "dubbele afpersing" vanwege de tweelaagse tactiek om de bestanden van het slachtoffer te blokkeren en te dreigen de gegevens openbaar te maken. Slachtoffers krijgen meestal de instructies om het losgeld te betalen met Bitcoin of een andere cryptomunt.

Wie zit er achter cl0p-ransomware?

Wie is cl0p ransomware nu eigenlijk? Cl0p-ransomware wordt verondersteld ontwikkeld te zijn door een Russisch sprekende groep cybercriminelen die ransomware-as-a-service gebruiken voor financieel gewin. De groep is meestal bekend als TA505, hoewel dit vaak door elkaar wordt gebruikt met de naam FIN11. Het is echter niet helemaal duidelijk of het om dezelfde groep gaat, of dat FIN11 een subset is van TA505.

Welke naam ze ook gebruiken, deze cl0p-ransomwarebende gebruikt zijn product op basis van het Ransomware-as-a-Service-model. Het cl0p-virus is zo te koop op het dark web en kan technisch worden gebruikt door elke cybercrimineel die bereid is te betalen voor de ransomware.

Cl0-ransomware: Hoe werkt het?

De cl0p-ransomwaregroep voert zijn aanvallen in wezen uit als een proces in meerdere stappen. Namelijk:

  1. De aanvallers gebruiken de malware om op verschillende manieren toegang te krijgen tot het beoogde apparaat.
  2. Vervolgens voeren ze handmatig verkenningen uit op het apparaat en stelen ze de gewenste gegevens.
  3. Op dit punt starten ze de versleuteling om bestanden op het doelapparaat te blokkeren door hun extensie te wijzigen, waardoor ze onbruikbaar worden. Meer recentelijk, zoals in het geval van de aanvallen van 2023 via software voor bestandsoverdracht MOVEit, werden de gegevens gestolen zonder dat bestanden werden versleuteld.
  4. Wanneer het slachtoffer een van de versleutelde bestanden probeert te openen, ontvangt deze een losgeldbrief met instructies voor het uitvoeren van de betaling.
  5. De aanvaller maakt gebruik van "dubbele afpersing" en dreigt gegevens te lekken die van het apparaat van het slachtoffer zijn gestolen als het losgeld niet wordt betaald.
  6. Als het losgeld wordt betaald, ontvangt het slachtoffer een sleutel waarmee de bestanden op het apparaat kunnen worden gedecodeerd.

Aanvallers gebruiken verschillende methoden om de cl0p-ransomware op gerichte apparaten af te leveren. Denk bijvoorbeeld aan:

  • Phishing (met behulp van social engineering-technieken)
  • Kwetsbaarheden in software
  • Besmette e-mailbijlagen en links
  • Geïnfecteerde websites
  • Inbreuk op de externe diensten op afstand

Welke methode ze ook kiezen om de cl0p-trojan op het beoogde apparaat af te leveren, de resulterende aanval werkt in wezen op dezelfde manier. Het doel is altijd om losgeld te ontvangen van het slachtoffer. In veel gevallen neemt de aanvaller echter de betaling aan en reageert daarna niet meer. In deze gevallen ontvangt het slachtoffer geen decoderingssleutel en kan geen toegang meer krijgen tot de bestanden.

CL0P-ransomware vermijden

Het is van cruciaal belang voor alle gebruikers van het apparaat om de essentiële veiligheidsmaatregelen voor computers te volgen om een infectie met cl0p te voorkomen. Over het algemeen zijn dit dezelfde principes die van toepassing zijn op het voorkomen van alle andere soorten cyberaanvallen, zoals:

  • Neem malwaredreigingen op in de bewustzijnstraining van de organisatie om ervoor te zorgen dat werknemers op de hoogte blijven van de nieuwste bedreigingen en preventieve maatregelen. Kaspersky Automated Security Awareness Platform kan hier een handig hulpmiddel bij zijn.
  • Bescherm bedrijfsgegevens, inclusief het beperken van toegang.
  • Open externe desktopservices niet via openbare netwerken. Gebruik indien nodig sterke wachtwoorden voor deze services.
  • Maak altijd een back-up van de gegevens en bewaar deze op een afzonderlijke locatie, zoals op cloudopslag of externe schijven in back-offices.
  • Houd alle software en apps, inclusief besturingssystemen en serversoftware, up-to-date om ervoor te zorgen dat de nieuwste beveiligingspatches geïnstalleerd zijn. Hierbij is het vooral belangrijk om onmiddellijk patches te installeren voor commerciële VPN-oplossingen waarmee werknemers op afstand toegang hebben tot organisatienetwerken. Gebruik automatische updates en installaties buiten de kantooruren.
  • Blijf op de hoogte van de laatste rapporten met informatie over dreigingen.
  • Gebruik softwareoplossingen zoals Kaspersky Endpoint Detection of Kaspersky Managed Detection and Response Service voor vroegtijdige detectie van bedreigingen om aanvallen in een vroeg stadium te identificeren en te stoppen.
  • Gebruik betrouwbare endpoint-beveiligingsoplossingen. Kaspersky Endpoint Security for Business omvat exploitpreventie, gedragsdetectie met behulp van AI en deskundige dreigingsinformatie, vermindering van aanvalsmogelijkheden en een herstelengine om schadelijke acties ongedaan te maken.

Het CL0P-ransomwarevirus afhandelen

Als een apparaat eenmaal is geïnfecteerd met het cl0p-virus, kan er helaas weinig worden gedaan om weer toegang te krijgen tot de bestanden. Zoals bij elk type ransomware-aanval, is het algemene advies om het gevraagde losgeld niet te betalen. Dit komt omdat de aanvallers de decoderingssleutel vaak niet verstrekken na ontvangst van het losgeld. En als ze dat toch doen, geeft het succes van de aanval hen het vertrouwen en de aanmoediging om nog meer van dit soort aanvallen uit te voeren op andere nietsvermoedende slachtoffers.

In plaats van het losgeld te betalen, is het meestal best om contact op te nemen met de autoriteiten om de aanval te melden en een onderzoek te starten. Het is ook mogelijk om een algemeen beschikbare software te gebruiken om het apparaat te scannen en de CL0P-ransomware te verwijderen. Dit herstelt echter de bestanden niet die werden versleuteld tijdens de aanval. Daarom is het belangrijk om regelmatig back-ups te maken en deze op een aparte locatie op te slaan. Dit kan een externe schijf zijn of in de cloud. Zo blijven ze beschikbaar in geval van een aanval.

Het is altijd belangrijk om voorzichtig te zijn wat betreft de veiligheid van je computer. Het is belangrijk om op te letten bij het surfen op het internet en het downloaden, installeren en updaten van software.

De dreiging van Cl0p

Cl0p-ransomware, net zoals andere soorten virussen en malware, is een hardnekkige cyberdreiging in een maatschappij die nu grotendeels digitaal is. Het cl0p-virus is een zeer specifieke bedreiging in het enorme gamma malware voor afpersing, maar het is er een die vooral bedrijven en organisaties zorgen baart. Hoewel het ernstige gevolgen kan hebben voor de slachtoffers, zijn er enkele preventieve maatregelen en garanties die kunnen worden geïmplementeerd om te proberen het risico op aanvallen van cl0p te minimaliseren of de effecten in geval van een aanval te beperken.

Gerelateerde artikelen:

Gerelateerde producten en diensten:

CL0P-ransomware: Wat is het en hoe werkt het?

Minimaliseer de dreiging van cl0p-ransomware door te leren hoe dit werkt en hoe je deze aanvallen kunt voorkomen. Kom meer te weten in het Kaspersky Resource Center.
Kaspersky logo

Gerelateerde artikelen