Negli ultimi anni, il ransomware cl0p è diventato una delle principali minacce di cybersecurity, provocando danni significativi a una vasta gamma di organizzazioni e settori di tutto il mondo. Sebbene gli attacchi di virus cl0p funzionino generalmente in modo simile ad altri attacchi ransomware, esistono alcune differenze specifiche.
Ma che cos'è esattamente il ransomware cl0p e come funzionano questi attacchi? E, domanda forse più pertinente, cosa possono fare le organizzazioni per ridurre al minimo il rischio di cadere vittime di questi attacchi che possono avere ripercussioni finanziarie significative?
Breve storia del ransomware CL0P
Il Cl0p (talvolta scritto anche cl0p, con lo zero in cifra) è un tipo di ransomware o malware estorsivo. Sebbene non perfettamente uguale a CryptoMix, si ritiene che il ransomware cl0p sia stato modellato sulla base di questo malware che lo ha preceduto. Nel frattempo, tuttavia, il Trojan è passato attraverso varie iterazioni e nuove versioni hanno rapidamente sostituito quelle precedenti.
Il Cl0p è stato scoperto da alcuni ricercatori di sicurezza nel febbraio 2019 sulla scia di un importante attacco di spear-phishing. È stato (e continua a essere) una delle principali minacce di cybersecurity per tutti i tipi di aziende e organizzazioni, a causa del modo in cui corrompe i file sui dispositivi delle vittime ed estorce pagamenti finanziari. Si ritiene infatti che, utilizzando specifici tipi di malware, il gruppo ransomware cl0p abbia estorto denaro a società energetiche globali e prestigiose università, nonché alla BBC, alla British Airways e a varie agenzie governative.
Nel 2020, il gruppo ideatore del ransomware cl0p ha sferrato un attacco con cui, sfruttando le vulnerabilità della rete di contenuti privati Kiteworks (ex Accellion), colpiva i clienti della piattaforma e si introduceva nelle loro reti (sebbene in questo attacco il malware clop non sia stato di fatto distribuito). Nel frattempo, gli ideatori del Trojan cl0p lanciavano un doppio schema di estorsione, facendo trapelare i dati rubati da un'azienda farmaceutica in un attacco fortemente distruttivo.
Questo evento è stato seguito nel 2021 da una serie di attacchi a SolarWinds, società software che offre servizi di gestione IT a numerose aziende, e a Swire Pacific Offshore, fornitore di servizi marittimi con sede a Singapore.
Nel 2023, l'attività di Clop si è ulteriormente estesa rispetto agli anni precedenti. Da gennaio a giugno 2023, questo Trojan è stato utilizzato in vari attacchi diretti a diversi settori, tra cui servizi alle imprese, software e finanza. Le vittime si concentravano soprattutto in Europa e in America del Nord, con gli Stati Uniti in testa con un margine significativo rispetto agli altri Paesi.
In questa scia di attacchi di portata significativa, oltre 2.000 organizzazioni hanno segnalato incidenti da cui sono stati divulgati i dati di oltre 62 milioni di persone, soprattutto negli Stati Uniti.
La serie di attacchi ransomware del gruppo Cl0p ha raggiunto il proprio apice sfruttando la vulnerabilità del software di trasferimento file MOVEit (CVE-2023-34362): gli aggressori hanno dichiarato di aver violato centinaia di aziende e hanno lanciato un ultimatum con scadenza il 14 giugno. Nel "giorno zero" sono stati scaricati in massa i dati delle organizzazioni colpite, tra cui molte informazioni riservate. Le autorità giudiziarie americane hanno deciso di offrire una ricompensa di 10 milioni di dollari in cambio di informazioni su Cl0p.
Che cos'è Cl0p?
Che cos'è quindi cl0p? Da un'analisi del ransomware Cl0p è emerso che si tratta di una variante del ransomware CryptoMix. Come il malware da cui deriva, il virus cl0p infetta il dispositivo preso di mira. In questo caso, tuttavia, il ransomware rinomina tutti i file con l'estensione .cl0p e li cripta per renderli inutilizzabili.
Per avere la certezza di portare a termine i propri attacchi, il ransomware cl0p è conforme al formato Win32 PE (Portable Executable) dei file eseguibili. Alcuni ricercatori hanno persino scoperto file eseguibili del virus cl0p con firme verificate che conferiscono loro un aspetto legittimo e consentono al malware di eludere il rilevamento da parte dei software di sicurezza. Il malware Cl0p cripta quindi i file con il cifrario a flusso RS4 e utilizza l'algoritmo RSA 1024 per criptare le chiavi RC4. Durante questo tipo di infezione da ransomware, sono a rischio tutti i file presenti su un dispositivo, compresi immagini, video, musica e documenti.
Dopo aver criptato i file, il virus cl0p chiede alla vittima un riscatto per conto dell'aggressore. Se il riscatto non viene pagato, l'aggressore minaccia di far trapelare i dati contenuti nei file violati. In questo caso, si parla quindi di "doppia estorsione", frutto di una tattica a doppio strato che comprende la restituzione dei file della vittima e la minaccia di rendere pubblici i dati. Alle vittime viene solitamente chiesto di pagare il riscatto in Bitcoin o con un'altra criptovaluta.
Chi c'è dietro il ransomware cl0p?
Ma chi si cela dietro il ransomware Cl0p? Si ritiene che il ransomware Cl0p sia stato sviluppato da un gruppo di criminali informatici RaaS (Ransomware-as-a-Service) di lingua russa, motivato principalmente dalla prospettiva di un profitto economico. Il gruppo è comunemente noto con la sigla TA505, spesso usata in modo intercambiabile con l'acronimo FIN11. Non è del tutto chiaro, tuttavia, se si tratti dello stesso gruppo o se FIN11 sia un sottogruppo di TA505.
Qualunque sia il nome con cui si presentano, gli autori del ransomware cl0p gestiscono il proprio prodotto secondo il modello Ransomware-as-a-Service. Per questo motivo, il virus cl0p è disponibile per la vendita sul dark web e, tecnicamente, può essere utilizzato da qualsiasi criminale informatico disposto a pagare per il ransomware.
Ransomware cl0p: come funziona
Il gruppo del ransomware cl0p progetta solitamente gli attacchi come un processo a più fasi. Nello specifico:
- Gli aggressori sfruttano il malware per ottenere l'accesso al dispositivo prescelto seguendo uno dei metodi disponibili.
- Effettuano quindi una ricognizione manuale del dispositivo e sottraggono i dati desiderati.
- Successivamente, lanciano l'encryptor per bloccare i file sul dispositivo cambiandone l'estensione e, di fatto, rendendoli inutilizzabili. Più di recente, come nel caso degli attacchi del 2023 attraverso il software di trasferimento file MOVEit, i dati sono stati rubati senza prima aver criptato i file.
- Quando la vittima tenta di aprire uno dei file criptati, riceve una nota di riscatto con istruzioni su come effettuare il pagamento.
- L'aggressore utilizza quindi la tattica della "doppia estorsione", minacciando la vittima di divulgare i dati rubati dal dispositivo se non paga il riscatto.
- Se il riscatto viene pagato, la vittima riceve una chiave di decrittazione che ripristina i file sul proprio dispositivo.
Gli aggressori utilizzano vari metodi per introdurre il ransomware Cl0p nei dispositivi presi di mira. Questo potrebbe includere:
- Phishing (utilizzando tecniche di social engineering)
- Exploit delle vulnerabilità del software
- Collegamenti e allegati e-mail infetti
- Siti Web infetti
- Compromissione dei servizi remoti esterni
Qualunque sia il metodo scelto per introdurre il Trojan cl0p nel dispositivo preso di mira, l'attacco che ne deriva opera sostanzialmente nello stesso modo. L'obiettivo è sempre quello di ricevere il pagamento di un riscatto da parte della vittima. In molti casi, tuttavia, l'aggressore riceve il pagamento e non risponde. La vittima, quindi, non riceve la chiave di decrittazione e non potrà più accedere ai propri file.
Come prevenire il ransomware CL0P
Per evitare di essere attaccati da un virus cl0p, è opportuno in primo luogo seguire le norme di sicurezza informatica di base. In generale, si tratta degli stessi principi che si applicano per prevenire qualsiasi tipo di attacco informatico, ad esempio:
- Includere le minacce malware nei percorsi di formazione sulla sicurezza aziendale per garantire che i dipendenti siano sempre aggiornati sulle minacce più recenti e sulle misure preventive: a questo scopo, Kaspersky Automated Security Awareness Platform può essere uno strumento molto utile.
- Proteggere i dati aziendali, anche limitando i permessi di accesso.
- Non accedere a servizi di desktop remoto attraverso reti pubbliche; se proprio necessario, utilizzare password forti per usufruire di questi servizi.
- Eseguire sempre copie di backup dei dati e conservarle in un luogo separato, ad esempio in storage cloud o in unità esterne installate nei back-office.
- Mantenere sempre aggiornate le applicazioni e le risorse software, inclusi i sistemi operativi e i software dei server, in modo che vengano installate le patch di sicurezza più recenti. Questa misura è particolarmente importante per le patch delle soluzioni VPN commerciali che consentono ai dipendenti di accedere in remoto alle reti aziendali; in questo caso, può essere utile ricorrere ad aggiornamenti automatici e installazioni programmate in orari non lavorativi.
- Consultare regolarmente i rapporti di intelligence sulle minacce.
- Utilizzare soluzioni software come Kaspersky Endpoint Detection o Kaspersky Managed Detection and Response Service per rilevare tempestivamente eventuali minacce, in modo da identificare e bloccare gli attacchi nelle fasi iniziali.
- Utilizzare soluzioni affidabili per la sicurezza degli endpoint: Kaspersky Endpoint Security for Business integra tecnologie di analisi comportamentale e prevenzione degli exploit basate sull'AI e su servizi di threat intelligence, e garantisce la riduzione delle superfici di attacco e un motore di ripristino in grado di annullare le azioni dannose.
Come affrontare il virus ransomware CL0P
Nel momento in cui un dispositivo viene infettato dal virus cl0p, purtroppo è possibile fare ben poco per recuperare l'accesso ai file. Come per qualsiasi altro tipo di attacco ransomware, il consiglio generale è di non pagare il riscatto richiesto. Gli aggressori, infatti, spesso non forniscono la chiave di decrittazione neanche dopo aver ricevuto il pagamento del riscatto. E anche se lo fanno, il successo dell'attacco dà loro fiducia e li incoraggia ad attaccare altre vittime ignare.
È consigliabile invece contattare le autorità per denunciare l'attacco e avviare un'indagine. È anche possibile utilizzare uno dei tanti software disponibili per eseguire la scansione del dispositivo e rimuovere il ransomware CL0P. Questa azione, tuttavia, non consente di ripristinare i file che sono stati criptati durante l'attacco. Ecco perché è importante creare regolarmente copie di backup e conservarle in un luogo separato, come un'unità esterna o il cloud, in modo che restino disponibili anche in caso di attacco.
Quando si tratta della sicurezza dei computer, la cautela non è mai troppa. È importante prestare particolare attenzione quando si naviga in Internet e si scaricano, installano o aggiornano le applicazioni software.
La minaccia del ransomware Cl0p
Il ransomware Cl0p, come altri tipi di virus e malware, è una minaccia di cybersecurity persistente in una società ormai prettamente digitale. Il virus cl0p è una minaccia molto specifica nel panorama dei malware di estorsione, ma è particolarmente pericolosa per aziende ed organizzazioni. Se da un lato può avere gravi implicazioni per le vittime, dall'altro esistono alcune misure preventive e di salvaguardia che possono essere messe in atto per cercare di ridurre al minimo il rischio di attacchi cl0p o almeno attenuarne gli effetti.
Articoli correlati:
- Scelta di una soluzione anti-virus
- Come funzionano i virus informatici?
- Tipi di attacchi ransomware: come si differenziano dai Trojan di criptazione
Prodotti e servizi correlati: