CL0P's Ransomware Rampage – Beveiligingsmaatregelen voor 2024

Cyberbeveiliging
Ransomware Rampage

2023 CL0P-groei

CL0P verscheen begin 2019 en werd voor het eerst geïntroduceerd als een meer geavanceerde versie van zijn voorganger, de 'CryptoMix'-ransomware, tot stand gebracht door de eigenaar CL0P-ransomware, een cybercriminaliteitsorganisatie. Door de jaren heen bleef de groep actief met aanzienlijke campagnes van 2020 tot 2022. Maar in 2023 bereikte de CL0P-ransomwarebende zichzelf naar nieuwe hoogten en werd een van de meest actieve en succesvolle ransomware-organisaties ter wereld.

Kapitaliseren op talloze kwetsbaarheden en exploits voor enkele van 's werelds grootste organisaties. De vermoedelijke Russische bende dankt zijn naam aan het Russische woord ‘klop’, wat zich vertaalt naar ‘bedwants’ en vaak wordt geschreven als ‘CLOP’ of ‘cl0p’. Zodra de bestanden van hun slachtoffers zijn gecodeerd, worden de extensies “.clop” aan hun bestanden toegevoegd.

Methoden en tactieken van CL0P

De CL0P-ransomwarebende (nauw verbonden met de cybercriminaliteitsgroepen TA505, FIN11 en UNC2546) stond bekend om hun uiterst destructieve en agressieve campagnes, die zich in 2023 richtten op grote organisaties over de hele wereld. De ‘big game hunter’-ransomwarebende maakte gebruik van de ‘steal , versleutelen en lekken”-methode voor tal van grote bedrijven met een specifiek belang voor bedrijven in de financiële, productie- en gezondheidszorgsector.

CL0P hanteert een Ransomware-as-a-Service-model (RaaS), waarbij veelvuldig gebruik wordt gemaakt van de 'stelen, versleutelen en lekken'-tactieken die wereldwijd gangbaar zijn bij veel ransomware-bedrijven. Als de slachtoffers niet aan de eisen voldoen, worden hun gegevens gepubliceerd via de door Tor gehoste leksite van de bende, bekend als 'CL0P^_-LEAKS'. Net als veel andere Russischtalige cyberbendes kon hun ransomware niet opereren op apparaten die zich in het GOS (Gemenebest van Onafhankelijke Staten) bevonden.

LockBit werkt ook als een Ransomware-as-a-service (RaaS)-model.

'Kort gezegd betekent dit dat affiliates een storting doen om de tool te gebruiken en vervolgens de betaling van het losgeld delen met de LockBit-groep. Er is gemeld dat sommige aangesloten bedrijven een aandeel van wel 75% ontvangen. De operators van LockBit hebben advertenties voor hun partnerprogramma op Russischtalige criminele forums geplaatst, waarin ze verklaren dat ze niet zullen opereren in Rusland of andere GOS-landen, en ook niet zullen samenwerken met Engelssprekende ontwikkelaars, tenzij een Russisch sprekende 'garant' voor hen instaat.' – 'De productiviteit van LockBit Ransomware'

In de Global Threat Landscape2024 Forecast van SecurityHQ werd gesproken over de heropleving van CL0P in het ransomware-landschap, iets waar we in 2024 naar uit moeten kijken.

3e meest productieve groep 2023

Na bestudering van de gegevens van ‘CL0P^_-LEAKS’ kon het dreigingsinlichtingenteam van SecurityHQ gegevens verzamelen over verschillende cybercriminaliteitsbendes over de hele wereld en helpen de omvang van de toename van de activiteiten van CL0P in 2023 te visualiseren. buiten de top van de meest actieve ransomware-groepen in 2022 om de derde meest productieve in 2023 veilig te stellen, is iets dat niet lichtvaardig moet worden opgevat.

Laatste activiteiten

Gedurende een periode van een maand in maart 2023 probeerde de CL0P-ransomwarebende de zero-day-kwetsbaarheid van 'Fortra GoAnywhere MFT' te misbruiken. Aanvallers, bijgehouden als CVE-2023-0669, konden profiteren van niet-gepatchte versies van de software met internettoegang om RCE te verkrijgen. De kwetsbaarheid werd de volgende dag gedicht, maar de groep had zich al met succes op meer dan 100 organisaties gericht.

Vervolgens kon Microsoft in april de betrokkenheid identificeren van twee ransomwarebendes (CL0P en LockBit) die misbruik maakten van de gevolgde CVE-2023-27350 en CVE-2023-27351. Bevat de printbeheersoftware die bekend staat als PaperCut, een veelgebruikt hulpmiddel dat wordt gebruikt door alle grote drukkerijen over de hele wereld. De groepen konden dit beveiligingslek misbruiken door met succes de beruchte TrueBot-malware in te zetten die vele maanden eerder was gebruikt. Een perfect doelwit voor mensen als CL0P, wiens tactiek is verschoven van niet alleen het versleutelen van de bestanden, maar meer naar het stelen van de gegevens om de organisaties verder af te persen. Dit werkte perfect omdat Papercut over een “Print Archiving”-tool beschikt die elke taak/document opslaat die via hun server wordt verzonden.

Het belangrijkste evenement van de groep vond plaats in mei; de veelgebruikte MOVEit Transfer (CVE-2023-24362) en MOVEit Cloud Software (CVE-2023-35036) werden actief misbruikt via een onbekende SQL-injectiekwetsbaarheid. CL0P kon extreem snel profiteren van kwetsbare netwerken en systemen, door gevoelige gegevens te extraheren van enkele van 's werelds grootste organisaties (BBC, Ernst Young, PwC, Gen Digital, British Airways, TFL, Siemens en nog veel meer). De groep verklaarde dat ze alle gegevens met betrekking tot regeringen, het leger en ziekenhuizen hadden verwijderd, maar omdat verschillende Amerikaanse overheidsinstanties getroffen waren door de MOVEit-inbreuk, werd een premie van $ 10 miljoen ingesteld die hen zou kunnen helpen hen aan een buitenlandse agent te koppelen.

Blijvende impact van viervoudige afpersing

De groep heeft niet alleen een grote rol gespeeld in de toestroom van ransomware-activiteiten in 2023, maar was ook bijna in zijn eentje verantwoordelijk voor de drastische stijging van de gemiddelde ransomware-betalingen.

De operators van CL0P staan ​​erom bekend dat ze zich tot het uiterste inspannen om hun boodschap over te brengen. Nadat ze publiekelijk het bewijs van de inbreuk van de organisatie hebben getoond, gegevens op hun leksite hebben gepubliceerd en hun berichten zijn genegeerd, zullen ze rechtstreeks naar belanghebbenden en leidinggevenden gaan om ervoor te zorgen dat aan hun eisen wordt voldaan. Dit staat bekend als viervoudige afpersing.

Van enkele naar dubbele, dubbele naar drievoudige en nu de progressie naar verviervoudigde afpersing, het is eerlijk om te zeggen dat ransomware-groepen niet stoppen totdat ze krijgen waar ze voor kwamen. Net als de dubbele of drievoudige afpersing voegt viervoudige afpersing een nieuwe laag toe in de vorm van twee hoofdwegen.

  1. De eerste zijn DDoS-aanvallen, die tot doel hebben de online aanwezigheid van een organisatie af te sluiten totdat het losgeld is betaald.
  2. De intimidatie van verschillende belanghebbenden (klanten, media, werknemers, enz.) verhoogt de druk op de besluitvormers.

Beste verdediging tegen CL0P Groep verdedigt tegen CL0P

Ter verdediging tegen CLOP gedurende 2024 wordt door SecurityHQ aanbevolen om

  • Let op uw landschap en uw omgeving. Weet wat normaal is voor uw omgeving en wat niet, zodat u snel kunt handelen.
  • Ontwikkel en evalueer uw incidentresponsplan, waarin duidelijke stappen worden weergegeven, zodat er actie kan worden ondernomen in het geval van een worstcasescenario.
  • Zorg ervoor dat Threat Monitoring aanwezig is om bedreigingen snel te identificeren.
  • Controleer de huidige cyberbeveiligingspraktijken om er zeker van te zijn dat de beste praktijken worden gebruikt.
  • Degenen die een groter risico lopen, bijvoorbeeld degenen in sectoren die specifiek het doelwit zijn van CLOP (Financiën, Productie, Gezondheidszorg), of degenen die gevoelige gegevens bewaren, moeten samenwerken met een MSSP om ervoor te zorgen dat de beste beveiligingspraktijken worden toegepast.

Bedreigingsinformatie voor de toekomst

Het Threat Intelligence-team van SecurityHQ is een samenhangende mondiale eenheid die zich toelegt op Cyber ​​Threat Intelligence. Hun team richt zich op het onderzoeken van opkomende bedreigingen en het volgen van de activiteiten van bedreigingsactoren, ransomwaregroepen en campagnes om ervoor te zorgen dat ze potentiële risico's voor blijven. Naast hun onderzoekswerk levert het Intelligence-team bruikbare informatie over dreigingen en onderzoek, waardoor het inzicht van de klanten van SecurityHQ wereldwijd wordt vergroot. Verenigd door een gemeenschappelijk engagement levert het SecurityHQ Threat Intelligence-team de inzichten die nodig zijn om met vertrouwen door de complexiteit van het cybersecurity-dreigingslandschap te navigeren.

Voor meer informatie over deze bedreigingen kunt u hier contact opnemen met een expert. Of als u een beveiligingsincident vermoedt, kunt u hier een incident melden.

Opmerking: Dit vakkundig bijgedragen artikel is geschreven door Patrick McAteer, Cyber ​​Threat Intelligence Analyst bij SecurityHQ Dubai, blinkt uit in het analyseren van evoluerende cyberdreigingen, het identificeren van risico's en het opstellen van bruikbare inlichtingenrapporten om proactieve verdediging mogelijk te maken.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 9-referenties gespot in de Google-app

Elon Musk voorspelt volgend jaar bovenmenselijke AI

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]