La gang Cl0p ransomware è tra le più famose degli ultimi anni: tra tutte le sue campagne ha compromesso oltre 8000 organizzazioni diverse a livello mondiale. La cybergang viene riconosciuta come un grande operatrice di botnet con particolare interesse per le frodi finanziarie.

Cl0p agisce tramite modello RaaS ma ha operato anche in affiliazione ad altri gruppi.
Quest’oggi andiamo a riepilogare tutto ciò che è noto sulla gang che non smette di mietere vittime illustri.

  1. Informazioni generali
  2. Clop 2019-2023 GoAnywhere
  3. Clop 2023 MOVEit Transfer
  4. Trend degli attacchi negli ultimi mesi
  5. Superamento del ransomware tradizionale
  6. Consigli conclusivi
cl0p ransomware cybergang

Il ransomware Clop (o Cl0p) ha una lunga storia fatta di comparse e lunghi periodi di assenza.
Per la prima volte è stato rilevato nel febbraio 2019 ed era nato come variante del ransomware CryptoMix.
Si è poi evoluto adattandosi alla circostanze e migliorando i suoi punti deboli e ad oggi, è considerato un malware che muta rapidamente e che guida le tendenze globali delle minacce. Il nome deriva da una parola russa “klop” che indica significa “cimice”. Il gruppo prende di mira aziende molto grandi e arriva a chiedere cifre di riscatto che ammontano anche a 20 milioni di dollari.

Cl0p ransomware, 2019

Si tratta di un gruppo RaaS (ransomware as a service) che utilizza la tecnica della doppia estorsione.
Concretamente il malware chiede un riscatto per decifrare i dati ed evitarne la diffusione sul sito di leak CL0P^_LEAKS.
Nella sua prima campagna, ransomware CL0P era utilizzato come payload finale, dopo che l’utente era stato infettato da una file binario verificato e firmato digitalmente che arrivava con una mail di spear-phishing.

L’attacco si basava su una attivazione macro che conteneva un dropper di malware Get2. Questo scaricava SDBot e FlawedGrace.

Clop 2020/2021

Nelle campagne più recenti il gruppo (noto anche come TA505) ha preferito puntare a processi di esfiltrazione più che alla cifratura dei dati. Gli attacchi estendono i loro effetti colpendo intere reti più che singoli dispositivi. In questa fase, il ransomware ha sfruttato diverse vulnerabilità zero-day per installare DEWMODE una web shell sui server Accellion FTA con connessione Internet.

Prima di passare alla fase di crittografia il malware inabilitava oltre 600 processi di Windows e svariate applicazioni, incluso Windows Defender e Microsoft Security Essentials. In questa fase, oltre 100 aziende sono rimaste vittime del suo attacco.

Nella metà del 2021 una operazione congiunta tra polizia Ucraina e Coreana aveva portato ad alcuni arresti, la manovra però non è stata risolutiva.
Gli attacchi firmati da CL0P sono infatti ricominciati pochi mesi dopo. Le persone incriminate costituivano solo il ramo della RaaS che si occupava del riciclaggio del denaro.

Clop 2023 – GoAnywhere

Un’ulteriore grande campagna Cl0p ransomware è partita nel gennaio del 2023.
In questo caso, la cybergang sfruttava la presenza di una vulnerabilità zero-day CVE-2023-0669 contro GoAnywhere MFT.
In questa seconda ondata di attacchi altre 130 aziende sono state compromesse in circa 10 giorni. Ovvero il tempo intercorso tra l’inizio dell’attacco e la diffusione di una patch per la risoluzione della vulnerabilità sfruttata.

Strumenti di intrusione

Il toolkit di Clo0p ransomware è molto vario e include diverse componenti malevole tra cui:

  • FlawedAmmyy/FlawedGrace
    un trojan RAT che raccoglie informazioni e le comunica ad un server per permettere l’installazione di altri malware
  • SDBot
    un RAT che estende l’infezione, si duplica nelle unità rimovibili e nelle condivisioni di rete, può diffondersi anche attraverso reti peer-to-peer. Consente l’esecuzione di comandi da remoto è utile per aumentare la persistenza
  • Truebot
    è un downloader, può raccogliere informazioni oltre che acquisire screenshoot. Può caricare un codice shell o DLL, scaricare ulteriori moduli, eseguirli e cancellarsi per non lasciare traccia. In questo caso era utilizzato per scaricare FlawedGrace o CobaltStrike
  • CobaltStrike
    consente l’accesso remoto alla rete una volta ottenuto l’accesso al server Active Directory
  • DEWMODE
    è una web shell scritta in PHP progettata per attaccare Accellion FTA e interagire cn i database MySQL

Clop 2023 MOVEit Transfer

In questo caso, parliamo di una campagna malevola ancora in corso.
Secondo le ultime notizie, le organizzazioni colpite da questa ultima ondata sarebbero circa 80. Sebbene il numero di attacchi sia, per il momento molto inferiore rispetto all’ultima, le aziende colpite sarebbe di grandi dimensioni.

Anche in questo caso i malviventi hanno sfruttato una vulnerabilità zero-day, successivamente rinominata CVE-2023-34362.
Si tratta di una vulnerabilità SQL Injection presente in una soluzione software per il trasferimento di file di MFT: MOVEit Transfer.

LEMURLOOT è il nome della shell web che è stata iniettata, si tratta di una shell in C# che autentica le richieste http in arrivo tramite password hardcoded.

Rivendicazione degli attacchi

I primi di Giugno sul sito web di Cl0p è apparsa la rivendicazione ufficiale dei criminali, che hanno provato a presentarsi come un’organizzazione che offre servizi di pentest, prima di avvisare tutte le aziende che fanno uso di MOVEit Transfer che i loro dati sarebbero certamente finiti nelle loro mani.

I criminali all’interno della nota di riscatto definiscono una procedura ben precisa per le loro contrattazioni della cifra di riscatto.
La procedura richiede:

  1. Inviare una e-mail per ricevere un URL per la chat dedicata alla contrattazione su Tor
  2. In caso entro il 14 giugno non fosse arrivata alcuna mail da parte delle vittime il loro nome sarebbe apparso sulla pagina di fuga
  3. I criminali si offrono di condividere un 10% delle informazioni come prova dell’avvenuto furto e di contrattate il prezzo del riscatto per eliminare quei dati dalla loro memoria
  4. Seguono 3 giorni per la contrattazione
  5. A 7 giorni dall’inizio delle trattative se non si è giunti ad un pagamento iniziano ad essere pubblicati estratti dei dati
  6. Dopo 10 giorni il contenuto integrale dei file violati è pubblicato

Come ulteriore dimostrazione che il loro fine è solo il denaro i malviventi affermano che non sono interessati a esporre informazioni governative o di polizia.

Consigli su come proteggersi dall’attacco

La minaccia del Cl0p ransomware richiede misure di protezione proattive e informate.
Innanzitutto, è essenziale mantenere aggiornati tutti i software e i sistemi operativi.
Gli aggiornamenti spesso includono patch di sicurezza che possono prevenire vulnerabilità sfruttate da questi ransomware.
Inoltre, è fondamentale effettuare regolarmente backup dei dati importanti, preferibilmente in più luoghi, come su dispositivi di archiviazione esterni e servizi di cloud storage. Questo assicura che, in caso di attacco, si possano recuperare i propri dati senza cedere alle richieste di riscatto.

Un’altra strategia importante è la formazione degli utenti.
Molti attacchi di ransomware, incluso Cl0p, iniziano con tecniche di phishing o ingegneria sociale. Educare se stessi e il personale sul riconoscimento e la gestione di email e link sospetti può ridurre significativamente il rischio di infezione. In aggiunta, l’uso di soluzioni antivirus e antimalware affidabili e la loro costante attivazione forniscono una difesa essenziale contro i tentativi di intrusione.

Infine, è raccomandato implementare un sistema di controllo degli accessi con il principio del minimo privilegio. Questo significa che gli utenti hanno solo le autorizzazioni strettamente necessarie per le loro attività lavorative. Limitando l’accesso, si riduce il potenziale danno che un ransomware può causare. Seguendo questi consigli, sia individui che organizzazioni possono migliorare significativamente la loro resilienza agli attacchi di Cl0p ransomware e simili minacce.