近年來,cl0p 勒索軟體已成為重大網路安全威脅,對全球許多組織和產業造成了重大損失。雖然 cl0p 病毒攻擊的運作方式通常與其他勒索軟體攻擊類似,但也存在一些具體差異。
cl0p 勒索軟體到底是什麼以及此類攻擊的原理為何?更重要的是,組織可以採取哪些措施來盡量避免成為此類攻擊的受害者並受到重大財務影響?
CL0P 勒索軟體簡史
Cl0p(有時寫為 cl0p,中間為數字零)是一種勒索軟體或勒索惡意軟體。儘管不完全相同,但 cl0p 勒索軟體據信是模仿較早出現的 CryptoMix 惡意軟體而設計的,該木馬程式到現在已經經歷了多次迭代,版本不斷推陳出新。
Cl0p 是在 2019 年 2 月發生一次重大魚叉式網路釣魚攻擊後被安全研究人員所發現。其自此以來一直是所有類型的企業和組織所需面對的重大網路安全威脅,因為其會破壞受害者裝置上的檔案並進行金錢勒索。據信 cl0p 勒索軟體組織利用了其特定的惡意軟體向全球能源集團、主要大學、BBC、英國航空公司和各個政府機構進行金錢勒索。
2020 年,cl0p 勒索軟體組織利用 Kiteworks(以前稱為 Accellion)私有內容網路中的漏洞發起了一次攻擊,以該平台的客戶端為目標並滲透其網路,不過該攻擊中並未部署 cl0p 惡意軟體。與此同時,cl0p 木馬程式的製作者發起了雙重勒索計劃,透過大規模破壞性攻擊洩露了竊取自一家製藥公司的資料。
隨後,2021 年,SolarWinds(一家為各種企業提供 IT 管理的軟體公司)和 Swire Pacific Offshore(一家新加坡海事服務業者)遭受了攻擊。
2023 年,Cl0p 的活躍度較往年激增。自 2023 年 1 月至 2023 年 6 月,各產業都開始出現受到該木馬程式攻擊的受害者,其中最嚴重的為商業服務業,其次是軟體和金融。許多受害者來自北美和歐洲,其中美國遭受的攻擊數量則佔多數。
該次攻擊的規模非常巨大,有超過 2,000 個組織通報攻擊事件,讓超過 6,200 萬位個人受到資料外洩,其中主要位於美國。
Cl0p 組織透過 MOVEit 檔案傳輸軟體漏洞(CVE-2023-34362)進行的一系列勒索軟體攻擊達到了頂峰:攻擊者聲稱已經成功攻擊了數百家公司,並發出了直到 6 月 14 日為止的最後通牒。零日漏洞讓組織的數據受到大量下載,其中包括各種機密資訊。美國執法當局則決定懸賞 1000 萬美元,徵集有關 Cl0p 的資訊。
什麼是 Cl0p?
所以,cl0p 到底是什麼?Cl0p 勒索軟體的分析指出,其為 CryptoMix 勒索軟體的變種,且與之相同,cl0p 病毒也會感染目標裝置。然而,cl0p 勒索軟體會重命名所有副檔名為 .cl0p 的檔案並對其進行加密,導致其無法使用。
為了有效進行攻擊,cl0p 勒索軟體遵循 Win32 PE(可移植可執行檔)可執行檔格式。重要的是,研究人員發現了具有經過驗證的簽名的 cl0p 病毒可執行檔案,此類簽名使其具有合法的外觀,並幫助惡意軟體逃避安全軟體的偵測。Cl0p 使用 RS4 串流密碼加密檔案,然後使用 RSA 1024 加密 RC4 金鑰。在勒索軟體感染期間,裝置上的所有檔案都可能受到影響,包括圖片、影片、音樂和文件。
加密檔案後,cl0p 病毒會向受害者勒索贖金。如果不支付贖金,攻擊者就會威脅洩漏這些檔案中的資料。因其進行雙重威脅而被稱為「雙重勒索」,即:脅持受害者的檔案並威脅公開洩露其中的資料。受害者通常被指示使用比特幣或其他加密貨幣支付贖金。
誰是 cl0p 勒索軟體的幕後黑手?
Cl0p 勒索軟體背後到底是誰?Cl0p 勒索軟體據信是由俄語勒索軟體即服務網路犯罪組織所開發,其背後的動機主要是金錢利益。該組織通常被稱為 TA505,儘管也經常被稱作 FIN11。然而,目前尚不完全清楚其是否是同一組織,或者FIN11 是否為 TA505 的下屬團體。
無論其名稱為何,cl0p 勒索軟體團夥都以勒索軟體即服務模式運作其產品。因此,cl0p 病毒可以在暗網上出售,任何願意支付勒索軟體費用的網路犯罪者理論上都能使用 cl0p 病毒。
Cl0p 勒索軟體的運作原理
Cl0p 勒索軟體組織本質上透過多步驟流程進行攻擊。這些步驟為:
- 攻擊者使用惡意軟體透過各種方法取得對目標裝置的存取權限。
- 攻擊者手動對裝置進行偵察並竊取其想要的資料。
- 之後,攻擊者啟動加密器,透過更改檔案的副檔名來鎖定目標裝置上的檔案,使其無法使用。最近則發生資料在檔案未加密的情況下受到盜用的狀況,例如 2023 年檔案傳輸軟體 MOVEit 所發生的攻擊事件。
- 當受害者嘗試開啟加密檔案時就會收到勒索信,而其中包含付款的說明。
- 攻擊者則會進行「雙重勒索」,威脅如果不支付贖的話就會洩露從受害者裝置中所竊取到的資料。
- 受害者支付贖金後則會收到解密金鑰,用於恢復其裝置上的檔案。
攻擊者使用各種方法將 cl0p 勒索軟體傳送到目標裝置。可能包括:
- 網路釣魚(使用社會工程手法)
- 利用軟體漏洞
- 受感染的電子郵件附件和連結
- 受感染的網站
- 入侵外部遠端服務
無論攻擊者選擇哪種方法將 cl0p 木馬程式傳送至目標裝置,最終的攻擊都會以基本相同的方式進行,而其目的始終是向受害者勒索贖金。然而,攻擊者時常在收到付款後就消失無蹤,受害者收不到解密金鑰,也無法重新存取其檔案。
防止 CL0P 勒索軟體
對於所有裝置的使用者來說,遵守基本的電腦安全原則就能避免 cl0p 感染。一般來說,同樣的原則能防止所有類型的網路攻擊,例如:
- 將惡意軟體威脅納入組織安全意識培訓中,以確保員工隨時了解最新的威脅和預防措施,而卡巴斯基自動化安全意識平台則為這方面上很有用的工具。
- 保護公司資料,包括限制存取控制。
- 避免使用公共網路存取遠端桌面服務,如有必要,請對此類服務使用高強度密碼。
- 備份資料並將其儲存在獨立位置,例如:雲端儲存或後台的外部磁碟機。
- 保持所有軟體和應用程式(包括作業系統和伺服器軟體)的更新,以確保安裝最新的安全性修補程式。立即安裝能讓員工遠端存取組織網路的商業 VPN 解決方案的修補程式非常重要,在非辦公時間安排自動更新和安裝也很有幫助。
- 隨時了解最新的威脅資訊和報告。
- 使用卡巴斯基端點偵測或卡巴斯基託管偵測和回應服務等軟體解決方案進行早期威脅偵測,以便在早期階段發現並阻止攻擊。
- 使用值得信賴的端點安全解決方案 - 卡巴斯基網路安全解決方案企業版整合了漏洞利用預防、使用 AI 和專家威脅情報進行的行為偵測、減少攻擊面以及可復原惡意操作的修復引擎。
應對 CL0P 勒索軟體病毒
很不幸,裝置感染了 cl0p 病毒後就很難重新獲得對其檔案的存取權限。與任何類型的勒索軟體攻擊一樣,一般建議是不要支付勒索贖金。因為攻擊者在收到贖金後通常並不會提供解密金鑰。即使攻擊者真的提供金鑰,攻擊的成果會給其帶來信心和鼓勵,促使其繼續攻擊其他毫無戒心的受害者。
最好的方式通常是通報有關單位並進行調查,而非支付贖金。也可以使用多種軟體來掃描裝置並刪除 CL0P 勒索軟體。但是此方式並無法恢復因攻擊而受到加密的檔案。因此,務必定期建立備份並將其獨立儲存(例如:外部磁碟或雲端),以便在遭受攻擊時能進行恢復。
小心謹慎始終是電腦安全方面的重點。瀏覽網路、下載、安裝和更新軟體時請務必小心留意。
Cl0p 的威脅
Cl0p 勒索軟體與其他類型的病毒和惡意軟體一樣,是當今數位化社會中持續存在的網路安全威脅。Cl0p 病毒是眾多勒索惡意軟體中的非常具體的威脅類型,也是企業和組織特別需要留意的類型。雖然該病毒能對受害者產生嚴重影響,但實施預防措施和保障措施仍能盡量減少 cl0p 攻擊的風險或減輕受到攻擊時所造成的影響。
相關產品和服務:
