Шифровальщик Clop: что это такое и как он работает

В последние годы шифровальщик Clop стал одной из крупнейших угроз кибербезопасности, и его активность нанесла значительный ущерб целому ряду организаций и отраслей экономики по всему миру. Хотя атаки вируса Clop в целом напоминают атаки других программ-вымогателей, между ними есть определенные различия.

Что же такое шифровальщик Clop и как устроены его атаки? И что еще важнее: как организациям минимизировать риск таких атак, учитывая, что они могут повлечь за собой серьезные финансовые последствия.

Краткая история шифровальщика Clop

Сlop (иногда это название пишут как Cl0p, через цифру 0) – это одна из разновидностей программ-вымогателей. Считается, что Clop разработан на основе шифровальщика CryptoMix, но при этом не идентичен ему. Этот троянец уже пережил несколько реинкарнаций, и на смену старым версиям быстро приходят новые.

Clop был обнаружен специалистами в области кибербезопасности в феврале 2019 года в ходе расследования крупной целевой фишинговой атаки. Этот шифровальщик стал (и остается по сей день) одной из крупнейших угроз кибербезопасности для предприятий и организаций всех типов, благодаря особой технологии повреждения файлов на устройствах и вымогания денег. Предполагается, что группа злоумышленников Clop с помощью разработанного ими вредоносного ПО вымогала деньги у мировых энергетических гигантов, крупнейших университетов, корпораций BBC и British Airways и различных правительственных учреждений.

В 2020 году группа Clop использовала уязвимости в платформе обмена частным контентом Kiteworks (ранее Accellion), чтобы через нее проникнуть во внутренние сети ее клиентов. При этом сама вредоносная программа Clop в атаке не участвовала. Тогда же создатели троянца Clop запустили стратегию двойного вымогательства, выложив в сеть данные, похищенные у одной из фармацевтических компаний в результате массированной разрушительной атаки.

В 2021 году последовали атаки на разработчика промышленного ПО для управления IT-инфраструктурой компанию SolarWinds и на сингапурского поставщика услуг для морской индустрии Swire Pacific Offshore.

В 2023 году активность группы еще сильнее возросла по сравнению с предыдущими годами. С января по июнь 2023 года троянец Clop использовался для атак на компании в самых разных отраслях экономики, главным образом в секторе бизнес-услуг, а также в сфере разработки программного обеспечения и финансов. Пострадало множество предприятий в Северной Америке и Европе, причем США по количеству атак вымогателей лидировали с большим отрывом.

Масштаб атак был внушительным: более 2 тыс. организаций сообщили об инцидентах безопасности (бо́льшая часть инцидентов случилась в США), в ходе которых произошла утечка данных более 62 млн человек.

Пиком деятельности группы Clop стала серия атак на уязвимость в программе для передачи файлов MOVEit (CVE-2023-34362): злоумышленники заявили о взломе сотен компаний и выдвинули ультиматум, который истекал 14 июня. Эта уязвимость нулевого дня позволила вымогателям выкачать огромные массивы корпоративных данных, включая самую разную конфиденциальную информацию. За сведения о группе Clop правоохранительные органы США пообещали вознаграждение в размере 10 млн долларов.

Что же такое Clop?

Так что же собой представляет Clop? Анализ показывает, что это одна из версий шифровальщика CryptoMix. Как и его предшественник, вирус Clop заражает целевое устройство. При этом он переименовывает все файлы, присваивая им расширение .clop, шифрует их и делает непригодными для использования.

Чтобы атака была более эффективной, шифровальщик Clop принимает вид исполняемых файлов Win32 PE. Что еще важнее, исследователи обнаружили исполняемые файлы Clop с верифицированными сигнатурами, что позволяет вирусу выглядеть как легитимное ПО и обходить программную защиту. Затем Clop шифрует файлы потоковым шифром RC4, а сами ключи RC4 дополнительно шифрует по алгоритму RSA 1024. При заражении устройства этим шифровальщиком под угрозой оказываются все файлы, в том числе фото и видео, музыка и документы.

Зашифровав файлы, вирус Clop оставляет записку от организаторов атаки с требованием выкупа. В случае неуплаты злоумышленники обещают выложить данные из этих файлов в открытый доступ. Такая стратегия называется двойным вымогательством, поскольку включает два уровня: шифрование файлов на устройстве жертвы и угрозу опубликовать данные. От жертвы обычно требуют заплатить выкуп в биткойнах или другой криптовалюте.

Кто стоит за шифровальщиком Clop?

Кто же такие вымогатели из группы Clop? Считается, что шифровальщик Clop разработан группой русскоязычных киберпреступников, которые используют модель «программа-вымогатель как услуга» (ransomware-as-a-service, RaaS) и мотивированы прежде всего получением финансовой выгоды. Эта группа также известна под двумя другими названиями: TA505 и FIN11. При этом не совсем понятно, обозначают ли эти названия одну и ту же группу или FIN11 является подгруппой TA505.

Как бы то ни было, банда вымогателей Clop предлагает свой продукт по модели RaaS. Таким образом, вирус Clop можно приобрести в даркнете и фактически его может использовать любой киберпреступник, который готов за это заплатить.

Как действует группа вымогателей Clop

Группа вымогателей Clop, как правило, проводит атаки в несколько этапов.

1. Злоумышленники проникают на устройство при помощи вредоносного ПО, используя разные методы его доставки.
2. Затем они в ручном режиме производят разведку на устройстве и похищают все нужные им данные.
3. На этом этапе они запускают шифровальщик, который изменяет расширения файлов, чтобы заблокировать их на устройстве и сделать непригодными для использования. В последнее время, например в ходе атаки на программу для передачи файлов MOVEit в 2023 году, злоумышленники похищали данные без шифрования файлов.
4. Когда жертва атаки пытается открыть зашифрованный файл, она видит записку от вымогателей с инструкциями по оплате выкупа.
5. Организаторы атаки используют стратегию двойного вымогательства, угрожая выложить похищенные данные в открытый доступ, если жертва откажется платить.
6. После уплаты выкупа жертве присылают ключ для расшифровки, с помощью которого можно восстановить файлы на устройстве.

Злоумышленники используют разные способы доставки шифровальщика Clop на целевые устройства, в том числе:

• с помощью фишинга (с использованием методов социальной инженерии);
• через уязвимости в программном обеспечении;
• с помощью вредоносных вложений и ссылок в электронных письмах;
• через зараженные веб-сайты;
• через взломанные службы удаленного доступа.

Независимо от способа доставки троянца Clop на устройство, в дальнейшем атака развивается приблизительно по одной и той же схеме. Целью всегда является получение выкупа. Во многих случаях организаторы атаки получают деньги и перестают выходить на связь. В результате жертва атаки не получает ключ для расшифровки и не может восстановить доступ к своим файлам.

Как предотвратить атаку шифровальщика Clop?

Пользователям необходимо соблюдать базовые правила компьютерной безопасности, чтобы избежать заражения своих устройств шифровальщиком Clop. В основном это те же правила, которые действуют для предотвращения всех остальных видов кибератак.

• Включите информирование о вредоносных угрозах в программу корпоративных тренингов по безопасности, чтобы сотрудники были в курсе новейших угроз и способов их предотвращения. В этом вам поможет платформа Kaspersky Automated Security Awareness Platform.
• Защитите корпоративные данные, в том числе с помощью инструментов ограничения доступа.
• Не пользуйтесь службами удаленного рабочего стола, если находитесь в публичной сети. Если это все же необходимо – защитите эти службы надежным паролем.
• Регулярно создавайте резервные копии данных и храните их на отдельном носителе, например в облачном хранилище или на внешних дисках в отдельном помещении.
• Своевременно обновляйте все программы и приложения, включая операционные системы и ПО для управления серверами, чтобы у вас всегда были установлены новейшие патчи безопасности. Особенно важно немедленно устанавливать патчи для корпоративных VPN-сервисов, которые позволяют сотрудникам удаленно подключаться к сетям компании. Полезно настроить автоматическую загрузку обновлений и их установку в нерабочее время.
• Будьте в курсе новейших аналитических отчетов о киберугрозах.
• Используйте такие программные решения, как Kaspersky Endpoint Detection или Kaspersky Managed Detection and Response для раннего обнаружения угроз, что позволит выявлять и блокировать попытки атак уже на ранних стадиях.
• Используйте надежные решения для защиты конечных устройств. Kaspersky Endpoint Security для бизнеса включает в себя защиту от эксплойтов, модуль анализа поведения на основе искусственного интеллекта и экспертного анализа угроз, функцию уменьшения поверхности атаки и модуль устранения последствий, который выполняет откат системы к состоянию до начала вредоносных действий.

Что делать, если шифровальщик Clop проник на устройство?

Если вирус Clop проник на устройство, к сожалению, мало что можно сделать для восстановления доступа к файлам. Общий совет, как и в случае с любой атакой вымогателей, – не платить выкуп, поскольку злоумышленники часто получают деньги и не присылают ключ для расшифровки. Но даже если вымогатели пришлют вам ключ, успешное завершение атаки придаст им уверенности и подтолкнет к новым атакам на ничего не подозревающих жертв.

Поэтому лучше не платить выкуп, а связаться с соответствующими органами, сообщить об атаке и начать расследование. Кроме того, можно воспользоваться одной из многочисленных доступных программ, чтобы провести проверку устройства и удалить шифровальщик Clop. Но восстановить файлы, зашифрованные в ходе атаки, это не поможет. Поэтому важно регулярно создавать резервные копии и хранить их в отдельном месте, например на внешнем диске или в облаке, чтобы в случае атаки можно было восстановить данные.

Когда речь идет о компьютерной безопасности, важно быть крайне осторожными. Будьте внимательны при работе в интернете, загрузке файлов, установке и обновлении программного обеспечения.

Clop как киберугроза

Шифровальщик Clop, как и другие вирусы и вредоносные программы, – это постоянная угроза кибербезопасности в современном обществе, зависящем от цифровых технологий. Clop – это специфическая угроза в ряду многочисленных программ-вымогателей, которая представляет особую опасность для предприятий и организаций. И хотя последствия его атаки могут быть крайне серьезными, есть некоторые превентивные меры и средства защиты, с помощью которых можно попытаться смягчить эти последствия или даже уменьшить риск атаки.

Статьи по теме:

• Выбор антивирусного решения
• Как удалить компьютерный вирус?
• Атаки вымогателей: какими они бывают и чем отличаются друг от друга троянцы-шифровальщики

Другие продукты и решения:

• Kaspersky Premium
• Бесплатная пробная версия Kaspersky Premium на 30 дней
• Kaspersky Password Manager
• Kaspersky Endpoint Security Cloud