Клоп (кибербанда)

цокать
Аббревиатура	кл0п
Формирование	2019
Тип	Взлом

Clop (иногда пишется « Cl0p ») — киберпреступная организация, известная своими методами многоуровневого вымогательства и глобальным распространением вредоносного ПО . Он вымогал более 500 миллионов долларов в виде выкупа, нацеленного на крупные организации по всему миру. Clop получил известность в 2019 году и с тех пор проводит громкие атаки, используя крупномасштабные фишинговые кампании и сложные вредоносные программы для проникновения в сети и требования выкупа, угрожая раскрыть данные, если требования не будут выполнены.

Clop все чаще использует методы чистого вымогательства с «программами-вымогателями без шифрования». Он также использует более сложные атаки, такие как атаки нулевого дня , которые имеют значительный эффект и позволяют требовать более высокие выплаты выкупа.

Описание

Clop — русскоязычная банда, занимающаяся вымогательством . ^[1] По данным Агентства кибербезопасности и безопасности инфраструктуры США (CISA), Clop «движет глобальные тенденции в распространении преступного вредоносного ПО». ^[2] Clop избегает целей в странах бывшего СССР , и его вредоносное ПО не может взломать компьютер, работающий преимущественно на русском языке. ^[2]

В 2023 году Clop использует все больше и больше методов чистого вымогательства с помощью «программ-вымогателей без шифрования», которые пропускают процесс шифрования , но по-прежнему угрожают утечкой данных, если выкуп не будет выплачен. Этот метод позволяет злоумышленникам достигать тех же результатов и получать большую прибыль. ^[3]

Clop привык совершать злонамеренные действия во время праздников, когда количество сотрудников в компаниях, как правило, минимально. Это случай атаки на программное обеспечение Accellion FTA 23 декабря 2020 года и атаки MOVEit летом 2023 года. ^[4]

Киберпреступники заявили Bleeping Computer, что «сразу» удалили данные, касающиеся «военных, детских больниц, правительства и т. д.». ^[4]

История

Первые подвиги

Банда была впервые замечена исследователями в феврале 2019 года. Она возникла как вариант семейства программ-вымогателей «CryptoMix». Clop — это пример программы-вымогателя как услуги (RaaS). Программа-вымогатель Clop использовала проверенный двоичный файл с цифровой подписью, что делало его похожим на законный исполняемый файл, который мог избежать обнаружения службами безопасности. ^[5]

В декабре 2019 года группировка атаковала Маастрихтский университет . Программа-вымогатель зашифровала почти все системы Windows, используемые Маастрихтским университетом, что сделало невозможным для студентов и сотрудников доступ к университетским онлайн-сервисам во время рождественских каникул. ^[6] Преступники установили выкуп, который позволил расшифровать университетские системы после того, как Маастрихтский университет заплатил 200 000 евро в виде перевода биткойнов . Уроки возобновились без задержек 6 января, и большинство онлайн-сервисов снова стали доступны как студентам, так и сотрудникам. ^[7] В 2020 году прокуратура арестовала криптовалютный счет, на который был уплачен выкуп. Как только выкуп был конвертирован из биткойнов в евро, университет смог вернуть 500 000 евро, что вдвое больше, чем было выплачено. ^[8]

Атака Accellion FTA (2020)

Accellion, компания, предоставляющая устаревшее устройство передачи файлов (FTA), столкнулась с серией утечек данных в середине декабря 2020 года. Злоумышленники воспользовались уязвимостями нулевого дня и веб-оболочкой, известной как DEWMODE, для взлома систем до 100 человек. компании, использующие соглашение о свободной торговле Accellion. Украденные данные включали конфиденциальные файлы. ^[9]

Атаки были приписаны банде вымогателей Clop и группе угроз FIN11, хотя во время этих конкретных инцидентов программы-вымогатели не использовались. После кражи данных злоумышленники пригрозили обнародовать украденную информацию, если не будет заплачен выкуп. Несколько организаций были идентифицированы как жертвы этих нарушений, в том числе Kroger , Singtel, QIMR Berghofer Medical Research Institute, Резервный банк Новой Зеландии, ASIC и Управление аудитора штата Вашингтон и другие. ^[9]

Атака GoAnywhere MFT (2023 г.)

В январе 2023 года банда взяла на себя ответственность за взлом более 130 организаций, воспользовавшись уязвимостью нулевого дня в инструменте безопасной передачи файлов GoAnywhere MFT. Эта уязвимость безопасности, обозначенная как CVE-2023-0669, позволяет злоумышленникам удаленно выполнять код на необновленных экземплярах GoAnywhere MFT, административная консоль которых доступна в Интернете. ^[10]

Эксплуатация MOVEit (2023 г.)

В 2023 году Clop будет использовать более сложные атаки, которые оказывают существенное воздействие и позволяют требовать более высокие выкупы. В частности, банда Clop преследовала цель кражи данных, воспользовавшись уязвимостью нулевого дня в MOVEit Transfer . Их цель — преодолеть общее снижение выкупов, требуя от своих жертв значительные суммы. ^[11]

В 2023 году банда взяла на себя ответственность за следующий взлом: BBC и British Airways . ^[1] Компании Эсте Лаудер , ^[12] 1st Source , First National Bankers Bank (США), Putnam Investments (США), Landal Greenparks (Нидерланды), Shell (Великобритания), ^[13] Йорка Департамент образования Нью- , ^[14] и Эрнст энд Янг . ^[15]

По прогнозам, по состоянию на июль 2023 года банда вымогателей Clop заработает примерно 75–100 миллионов долларов на своих атаках с использованием уязвимости MOVEit Transfer. ^[11]

Методы

Клоп использует масштабные фишинговые кампании. Электронные письма содержат вложения HTML, которые перенаправляют получателей к документу с поддержкой макросов, используемому для установки загрузчика с именем Get2. Этот загрузчик облегчает загрузку других инструментов, таких как SDBOT, FlawedAmmyy и Cobalt Strike . Оказавшись в системе, банда приступает к разведке , боковому перемещению и эксфильтрации, чтобы подготовить почву для развертывания программы-вымогателя. Затем Клоп принуждает свою жертву, отправляя электронные письма с предложением начать переговоры. Если их сообщения будут проигнорированы, они угрожают опубликовать данные на своем сайте утечки данных «Cl0p^_-Leaks». ^[5]

Недавно сообщалось, что Clop использует вредоносное ПО TrueBot для доступа к сетям. Загрузчик, развернутый хакерской группой «Тишина», в 2023 году затронет более 1500 систем по всему миру. ^[16]

См. также

Ссылки

^ Перейти обратно: ^а ^б Лингаас, Шон (07 июня 2023 г.). «Русскоязычная кибербанда взяла на себя ответственность за взлом данных сотрудников BBC и British Airways | CNN Business» . CNN . Проверено 5 июля 2023 г.
^ Перейти обратно: ^а ^б «Группа программ-вымогателей преследовала американские фирмы задолго до взлома MOVEit» . Bloomberg.com . 17.06.2023 . Проверено 5 июля 2023 г.
^ Росс Келли (29 июня 2023 г.). «Программы-вымогатели без шифрования: выпущено предупреждение о новом методе атаки для злоумышленников» . ИТПро . Проверено 18 июля 2023 г.
^ Перейти обратно: ^а ^б «Программа-вымогатель Clop берет на себя ответственность за вымогательные атаки MOVEit» . Мигающий компьютер . Проверено 24 июля 2023 г.
^ Перейти обратно: ^а ^б «В центре внимания программы-вымогатели: Clop — новости безопасности» . www.trendmicro.com . Проверено 5 июля 2023 г.
^ «Кибератака – краткое содержание» . Маастрихтский университет . Проверено 11 мая 2020 г.
^ Баннистер, Адам. «Атака программы-вымогателя: Маастрихтский университет выплатил киберпреступникам 220 000 долларов» . Ежедневный глоток . Проверено 11 мая 2020 г.
^ «Голландский университет добился больших успехов после возвращения выкупа в биткойнах – DW – 02.07.2022» . dw.com . Проверено 21 апреля 2023 г.
^ Перейти обратно: ^а ^б «Глобальные утечки данных Accellion связаны с бандой вымогателей Clop» . Мигающий компьютер . Проверено 24 июля 2023 г.
^ «Программа-вымогатель Clop утверждает, что взломала 130 организаций, используя GoAnywhere нулевого дня» . Мигающий компьютер . Проверено 24 июля 2023 г.
^ Перейти обратно: ^а ^б «Банда Clop заработает более 75 миллионов долларов на вымогательских атаках MOVEit» . Мигающий компьютер . Проверено 22 июля 2023 г.
^ «Бьюти-гигант Estée Lauder взломан двумя бандами-вымогателями» . Мигающий компьютер . Проверено 22 июля 2023 г.
^ Пейдж, Карли (15 июня 2023 г.). «Группа программ-вымогателей перечисляет первые жертвы массовых взломов MOVEit, в том числе банки и университеты США» . ТехКранч . Проверено 24 июля 2023 г.
^ «Группа вирусов-вымогателей Clop получила персональные данные 45 000 студентов Нью-Йорка в результате взлома MOVEit» . Engadget . 25 июня 2023 г. Проверено 24 июля 2023 г.
^ «EY в свою очередь взломали? Данные выставили на продажу» . www.journaldunet.com (на французском языке). 07.07.2023 . Проверено 28 июля 2023 г.
^ «Вирус-вымогатель Clop использует вредоносное ПО TrueBot для доступа к сетям» . Мигающий компьютер . Проверено 22 июля 2023 г.

[:1-1] Перейти обратно: ^а ^б Лингаас, Шон (07 июня 2023 г.). «Русскоязычная кибербанда взяла на себя ответственность за взлом данных сотрудников BBC и British Airways | CNN Business» . CNN . Проверено 5 июля 2023 г.

[:2-2] Перейти обратно: ^а ^б «Группа программ-вымогателей преследовала американские фирмы задолго до взлома MOVEit» . Bloomberg.com . 17.06.2023 . Проверено 5 июля 2023 г.

[3] Росс Келли (29 июня 2023 г.). «Программы-вымогатели без шифрования: выпущено предупреждение о новом методе атаки для злоумышленников» . ИТПро . Проверено 18 июля 2023 г.

[:4-4] Перейти обратно: ^а ^б «Программа-вымогатель Clop берет на себя ответственность за вымогательные атаки MOVEit» . Мигающий компьютер . Проверено 24 июля 2023 г.

[:0-5] Перейти обратно: ^а ^б «В центре внимания программы-вымогатели: Clop — новости безопасности» . www.trendmicro.com . Проверено 5 июля 2023 г.

[6] «Кибератака – краткое содержание» . Маастрихтский университет . Проверено 11 мая 2020 г.

[7] Баннистер, Адам. «Атака программы-вымогателя: Маастрихтский университет выплатил киберпреступникам 220 000 долларов» . Ежедневный глоток . Проверено 11 мая 2020 г.

[8] «Голландский университет добился больших успехов после возвращения выкупа в биткойнах – DW – 02.07.2022» . dw.com . Проверено 21 апреля 2023 г.

[:5-9] Перейти обратно: ^а ^б «Глобальные утечки данных Accellion связаны с бандой вымогателей Clop» . Мигающий компьютер . Проверено 24 июля 2023 г.

[10] «Программа-вымогатель Clop утверждает, что взломала 130 организаций, используя GoAnywhere нулевого дня» . Мигающий компьютер . Проверено 24 июля 2023 г.

[:3-11] Перейти обратно: ^а ^б «Банда Clop заработает более 75 миллионов долларов на вымогательских атаках MOVEit» . Мигающий компьютер . Проверено 22 июля 2023 г.

[12] «Бьюти-гигант Estée Lauder взломан двумя бандами-вымогателями» . Мигающий компьютер . Проверено 22 июля 2023 г.

[13] Пейдж, Карли (15 июня 2023 г.). «Группа программ-вымогателей перечисляет первые жертвы массовых взломов MOVEit, в том числе банки и университеты США» . ТехКранч . Проверено 24 июля 2023 г.

[14] «Группа вирусов-вымогателей Clop получила персональные данные 45 000 студентов Нью-Йорка в результате взлома MOVEit» . Engadget . 25 июня 2023 г. Проверено 24 июля 2023 г.

[15] «EY в свою очередь взломали? Данные выставили на продажу» . www.journaldunet.com (на французском языке). 07.07.2023 . Проверено 28 июля 2023 г.

[16] «Вирус-вымогатель Clop использует вредоносное ПО TrueBot для доступа к сетям» . Мигающий компьютер . Проверено 22 июля 2023 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]