Ransomware CL0P: o que é e como funciona?

Nos últimos anos, o ransomware cl0p se tornou uma grande ameaça à segurança cibernética, causando danos significativos a uma ampla gama de organizações e indústrias em todo o mundo. Embora os ataques do vírus cl0p geralmente funcionem de maneira semelhante aos outros ataques de ransomware, existem algumas diferenças específicas.

Mas o que é exatamente o ransomware cl0p e como funcionam esses ataques? E, talvez de forma mais pertinente, o que as organizações podem fazer para minimizar as chances de serem vítimas destes ataques, que podem ter impactos financeiros significativos?

Uma breve história do ransomware CL0P

Cl0p – às vezes grafado como cl0p, com o número zero – é um tipo de ransomware ou malware de extorsão. Embora não seja exatamente igual ao CryptoMix, acredita-se que o ransomware cl0p tenha sido modelado neste malware anterior a ele. Agora, porém, o trojan passou por várias iterações e novas versões substituem rapidamente as anteriores.

O Cl0p foi descoberto por pesquisadores de segurança em fevereiro de 2019, na sequência de um grande ataque de spear-phishing. Ele foi – e continua sendo – uma grande ameaça à segurança cibernética para todos os tipos de empresas e organizações devido à forma como ele corrompe arquivos nos dispositivos das vítimas e extorque pagamentos financeiros. Na verdade, acredita-se que usando seu malware específico, o grupo de ransomware cl0p extorquiu dinheiro de conglomerados globais de energia, de várias universidades importantes, da BBC, da British Airways e de várias agências governamentais.

Em 2020, o grupo de ransomware cl0p realizou um ataque para explorar vulnerabilidades na rede de conteúdo privado Kiteworks (anteriormente conhecida como Accellion), para atingir os clientes da plataforma e se infiltrar em suas redes – embora o malware clop em si não tenha sido implantado neste ataque. Ao mesmo tempo, os criadores do trojan cl0p lançaram um esquema duplo de extorsão, vazando os dados roubados de uma empresa farmacêutica num ataque massivamente destrutivo.

Logo após, em 2021, ocorreram ataques à SolarWinds, uma empresa de software que oferece gerenciamento de TI para várias empresas, e à Swire Pacific Offshore, uma provedora de serviços marítimos com sede em Cingapura.

Em 2023, a atividade do Clop aumentou em relação aos anos anteriores. De janeiro a junho de 2023, o trojan foi usado para atacar vítimas em vários setores, com serviços empresariais liderando, seguidos por software e finanças. Muitas das vítimas estavam na América do Norte e na Europa, com os EUA registrando o maior número de ataques com uma margem significativa.

A escala do ataque foi significativa, com mais de 2.000 organizações relatando incidentes, impactando mais de 62 milhões de indivíduos cujos dados vazaram, principalmente nos Estados Unidos.

A série de ataques de ransomware pelo grupo Cl0p através da vulnerabilidade do software de transferência de arquivos MOVEit (CVE-2023-34362) atingiu seu pico: os invasores alegaram a violação de centenas de empresas e emitiram um ultimato até 14 de junho. O dia zero permitiu o download em massa de dados das organizações, incluindo várias informações confidenciais. As autoridades legais americanas decidiram oferecer uma recompensa de US$ 10 milhões para informações sobre o Cl0p.

O que é Cl0p?

Então, o que é cl0p? A análise do ransomware Cl0p mostra que ele é uma variação do ransomware CryptoMix. Assim como o malware em que se baseia, o vírus cl0p infecta o dispositivo visado. No entanto, neste caso, o ransomware renomeia todos os arquivos com a extensão .cl0p e os criptografa, tornando-os inutilizáveis.

Para realizar seus ataques com eficácia, o ransomware cl0p está em conformidade com o formato Win32 PE (Portable Executable) de arquivos executáveis. Crucialmente, os pesquisadores descobriram executáveis do vírus cl0p com assinaturas verificadas que dão a ele uma aparência legítima e ajudam o malware a evitar a detecção pelo software de segurança. Em seguida, o Cl0p criptografa os arquivos com a cifra de fluxo RS4 e usa o RSA 1024 para criptografar as chaves RC4. Todos os arquivos em um dispositivo estão em risco durante esse tipo de infecção por ransomware, incluindo imagens, vídeos, músicas e documentos.

Depois de criptografar os arquivos, o vírus cl0p emite uma exigência de resgate do criminoso para a vítima. Se esse resgate não for pago, o criminoso ameaça vazar os dados de tais arquivos. Isso é conhecido como "extorsão dupla" devido à tática de camada dupla de renderizar os arquivos da vítima e ameaçar com o vazamento público dos dados. As vítimas geralmente são instruídas a pagar o resgate com Bitcoin ou outra criptomoeda.

Quem está por trás do ransomware cl0p?

Mas quem é o cl0p ransomware? Acredita-se que o ransomware Cl0p tenha sido desenvolvido por um grupo cibercriminoso desenvolvedor de ransomware de língua russa, motivado principalmente por ganhos financeiros. O grupo é normalmente conhecido como TA505, embora seja frequentemente usado de forma intercambiável com o nome FIN11. No entanto, não está totalmente claro se eles são o mesmo grupo ou se o FIN11 é um subconjunto do TA505.

Seja qual for o nome utilizado, essa gangue de ransomware cl0p opera seu produto no modelo de ransomware como serviço. Dessa forma, o vírus cl0p está disponível para venda na dark web e, tecnicamente, pode ser usado por qualquer criminoso cibernético que esteja disposto a pagar pelo ransomware.

Ransonware Cl0p: como ele funciona

O grupo de ransomware cl0p essencialmente realiza seus ataques como um processo de várias etapas. que são:

1. Os invasores usam o malware para obter acesso ao dispositivo alvo usando vários métodos.
2. Eles então realizam manualmente o reconhecimento do dispositivo e roubam os dados que desejam.
3. Neste ponto, eles inicializam o criptografador para bloquear arquivos no dispositivo visado, alterando sua extensão, tornando-os inutilizáveis. Mais recentemente, como no caso dos ataques de 2023 por meio do software de transferência de arquivos MOVEit, os dados foram roubados sem que os arquivos fossem criptografados.
4. Quando a vítima tenta abrir um dos arquivos criptografados, ela recebe uma notificação de resgate com instruções sobre como efetuar o pagamento.
5. O invasor usa a “dupla extorsão”, ameaçando vazar dados roubados do dispositivo da vítima caso o resgate não seja pago.
6. Se o resgate for pago, a vítima recebe uma chave de descriptografia que restaura os arquivos em seu dispositivo.

Os invasores usam vários métodos para entregar o ransomware cl0p para os dispositivos visados. Esses podem incluir:

• Phishing (usando técnicas de engenharia social)
• Exploração de vulnerabilidades de software
• Anexos e links de e-mail infectados
• Sites infectados
• Comprometimento dos serviços remotos externos

Qualquer que seja o método escolhido para entregar o trojan cl0p ao dispositivo visado, o ataque resultante funciona essencialmente da mesma maneira. O objetivo é sempre receber o pagamento do resgate da vítima. No entanto, em muitos casos, o invasor recebe o pagamento e não responde. Nestes casos, a vítima não recebe a chave de descriptografia e não consegue recuperar o acesso aos seus arquivos.

Prevenção do ransomware CL0P

É essencial que todos os usuários de dispositivos sigam as disposições básicas de segurança computacional para evitar uma infecção por cl0p. Em geral, estes são os mesmos princípios que se aplicam à prevenção de todos os tipos de ataques cibernéticos, como:

• Inclua ameaças de malware no treinamento de conscientização de segurança organizacional, para garantir que os funcionários se mantenham atualizados sobre as ameaças e medidas preventivas mais recentes – a Kaspersky Automated Security Awareness Platform pode ser uma ferramenta útil.
• Proteja os dados da empresa, incluindo a limitação dos controles de acesso.
• Não acesse serviços da área de trabalho remota usando redes públicas – se necessário, use senhas fortes para estes serviços.
• Sempre faça backup dos dados e armazene-os em um local separado, como armazenamento na nuvem ou unidades externas em back offices.
• Mantenha todos os softwares e aplicativos, incluindo sistemas operacionais e software de servidor, atualizados para garantir que os patches de segurança mais recentes sejam instalados – é especialmente importante instalar os patches imediatamente para soluções comerciais de VPN que permitem que os funcionários acessem remotamente as redes organizacionais; atualizações e instalações automatizadas programadas fora do horário comercial podem ser úteis aqui.
• Mantenha-se atualizado sobre os relatórios de inteligência das ameaças mais recentes.
• Use soluções de software como o Kaspersky Endpoint Detection ou Kaspersky Managed Detection and Response Service para detecção precoce de ameaças, para identificar e interromper ataques em seus estágios iniciais.
• Use soluções de segurança de endpoints confiáveis – O Kaspersky Endpoint Security for Business incorpora prevenção de exploit, detecção de comportamento usando IA e inteligência especializada em ameaças, redução de superfícies de ataque e um mecanismo de remediação que pode desfazer ações maliciosas.

Lidando com o vírus ransomware CL0P

Depois que um dispositivo é infectado pelo vírus cl0p, infelizmente há muito pouco a ser feito para recuperar o acesso aos seus arquivos. Tal como acontece com qualquer tipo de ataque de ransomware, a orientação geral é não pagar o resgate solicitado. Isso ocorre porque os invasores geralmente não fornecem a chave de descriptografia após receberem o pagamento do resgate. Mesmo que o façam, o sucesso do ataque dá a eles a confiança e o incentivo para continuarem com estes ataques em outras vítimas inocentes.

Em vez de pagar o resgate, normalmente é melhor entrar em contato com as autoridades para denunciar o ataque e iniciar uma investigação. Também é possível usar um dos muitos softwares amplamente disponíveis para verificar o dispositivo e remover o ransomware CL0P. . No entanto, isso não restaura os arquivos que foram criptografados durante o ataque. Dessa forma, é importante criar backups regulares e armazená-los em um local separado – como uma unidade externa ou na nuvem – para que ainda estejam disponíveis em caso de ataque.

A cautela é sempre essencial quando se trata da segurança do seu computador. É importante prestar atenção ao navegar na internet e ao baixar, instalar e atualizar softwares.

A ameaça do Cl0p

O ransomware Cl0p, assim como outros tipos de vírus e malware, é uma ameaça persistente à segurança cibernética em uma sociedade que agora é amplamente digital. O vírus cl0p é uma ameaça muito específica em um conjunto supérfluo de malware de extorsão, mas que é de especial preocupação para empresas e organizações. Embora possa ter implicações graves para as suas vítimas, existem algumas medidas preventivas que podem ser implementadas para tentar minimizar o risco de ataques do cl0p ou mitigar os efeitos em caso de ataque.

Artigos relacionados:

• Como escolher uma solução antivírus
• Como funcionam os vírus de computador?
• Ataques e tipos de ransomware: como os cavalos de Troia de criptografia se diferenciam

Produtos e serviços relacionados:

• Kaspersky Password Manager
• Kaspersky Endpoint Security Cloud
• Kaspersky Premium