Clop
| ||||||||||||||||
Clop. Virus de tipo ''ransomware'' descubierto por Jakub Kroustek.
Sumario
Concepto
Está diseñado para cifrar datos y renombrar cada archivo añadiendo la extensión ".Clop". Por ejemplo, "sample.jpg" se renombraa "sample.jpg.Clop". Una vez cifrados, Clop genera un archivo de texto ('ClopReadMe.txt') y coloca una copia en cada carpeta existente. Este archivo de texto contiene un mensaje de petición de rescate. Una variante actualizada de este ransomware añade la extensión ".Cllp " y deja caer una nota de rescate llamada "README_README.txt". Normalmente, los ciberdelincuentes afirman que los archivos están cifrados y que sólo ellos pueden recuperarlos. Por desgracia, esta información es exacta: actualmente no se ha confirmado si Clop utiliza cifrado simétrico o asimétrico. En cualquier caso, cada víctima recibe una clave de descifrado única necesaria para recuperar sus datos.
Origen
Apareció en febrero de 2019 y evolucionó a partir de una variante del ransomware CryptoMix, se utilizó como ransomware como servicio (RaaS) en una campaña masiva de phishing que utilizó binarios de firma digital verificados para eludir las defensas del sistema. Anteriormente se sabía que CL0P utilizaba una táctica de "doble extorsión" consistente en robar y cifrar los datos de las víctimas, negarse a restaurar el acceso y publicar los datos filtrados en Tor a través del sitio web CL0P^_-LEAKS.En 2019, los actores de TA505, utilizaron el ransomware CL0P como carga útil final en una campaña de phishing que incluía documentos habilitados para macros que descargaban SD Boty Flawed Grace utilizando el dropper de malware Get2. En una campaña reciente que comenzó en 2021, CL0P priorizó principalmente la exfiltración de datos sobre el cifrado.
Objetivos de los ataques
Este tipo de ciberataque es independiente del sector y puede afectar indistintamente a personas físicas y jurídicas. Hasta ahora se han registrado ataques contra el comercio minorista, el transporte y la logística, la educación, las finanzas, las telecomunicaciones e incluso la sanidad.
Acceso
La banda Clop suele obtener el acceso inicial a la red de la víctima a través de correos electrónicos, de phishing, exploit kits o aprovechando vulnerabilidades del software o del sistema. También pueden utilizar técnicas de ingeniería social, como spam o enlaces maliciosos, para insertar el ransomware. Los registros de un cliente de Sophos MDR muestran 3.689 ataques Clop contra servidores Ubiquity UniFi. Lo que demuestra la persistencia del ataque. La extorsión como finalidad se facilita en detalles por correo electrónico, ya que los costes no se especifican en el archivo de texto y es probable que dependan de la rapidez con la que se contacte con la víctima. Sin embargo, en la mayoría de los casos, los costes varían entre 500 y1.500 USD en Bitcoin, Ethereum, Monero, DASH u otras criptodivisas.
Síntomas
Después de un ataque y cifrado exitoso, se genera un archivo de texto (" ClopReadMe.txt ") con una copia en cada carpeta existente. El archivo de texto contiene un mensaje de demanda de rescate. La variante actualizada de este ransomware agrega la extensión " .Cllp " y suelta una nota de rescate llamada " README_README.txt ".
Resumen
Resumen de amenazas
| Resumen de amenazas | Significado |
|---|---|
| Nombre | virus clop |
| Tipo de amenaza | Ransomware, criptovirus, casillero de archivos |
| Extensión de archivos cifrados | .clop |
| Herramienta de descifrado | Los archivos cifrados con la variante de Linux se pueden descifrar. |
| Mensaje exigente de rescate | ClopReadMe.txt |
| Contacto cibercriminal | servicedigilogos(arroba)protonmail.com, managersmaers(arroba)tutanota.com, unlock(arroba)goldenbay.su, unlock(arroba)graylegion.su |
| Detecciones de antivirus | Avast (Win32:Malware-gen), BitDefender (Trojan.GenericKD.41198091), ESET-NOD32 (una variante de Win32/GenKryptik.DFCB), Kaspersky (Trojan.Win32.Zenpak.eon), lista completa de detecciones en VirusTotal |
| Síntomas | No se pueden abrir archivos almacenados en su computadora; los archivos que antes funcionaban ahora tienen una extensión diferente (por ejemplo, my.docx.locked). Se muestra un mensaje de demanda de rescate en su escritorio. Los ciberdelincuentes exigen el pago de un rescate (normalmente en bitcoins) para desbloquear sus archivos. |
| información adicional | Las variantes actualizadas del ransomware Clop son capaces de desinstalar el software actual, como las suites antivirus. Además, existe una variante para Linux de este ransomware. |
| Métodos de distribución | Archivos adjuntos de correo electrónico infectados (macros), sitios web de torrents, anuncios maliciosos. |
| Daño | Todos los archivos están cifrados y no se pueden abrir sin pagar un rescate. Se pueden instalar troyanos adicionales que roban contraseñas e infecciones de malware junto con una infección de ransomware. |
| Eliminación de malware (Windows) | Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo |
Vease también
https://news.sophos.com/es-es/2023/07/21/clop-es-el-numero-uno-pero-por-cuanto-tiempo/ https://socradar.io/dark-web-threat-profile-clop-ransomware/ https://www.trendmicro.com/vinfo/hk-en/security/news/ransomware-spotlight/ransomware-spotlight-clop https://www.mimecast.com/content/clop-ransomware/ https://www.mimecast.com/content/clop-ransomware/
Fuentes
- [laura.borreda. Red Seguridad. 2022 [citado 11 de enero de 2024]. Ransomware Clop: qué es y cómo eliminar esta variante de malware. Disponible en: https://www.redseguridad.com/actualidad/cibercrimen/ransomware-clop-que-es-y-como-eliminarlo_20220512.html]
- [#StopRansomware: CL0P Ransomware Gang explota la vulnerabilidad CVE-2023-34362 MOVEit | CISA [Internet]. 2023 [citado 11 de enero de 2024]. Disponible en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a]
- [CSO Online [Internet]. [citado 11 de enero de 2024]. Clop ransomware dominates ransomware space after MOVEit exploit campaign. Disponible en: https://www.csoonline.com/article/650272/clop-ransomware-dominates-ransomware-space-after-moveit-exploit-campaign.html]
- [Clop [Internet]. Flashpoint. [citado 11 de enero de 2024]. Disponible en: https://flashpoint.io/intelligence-101/clop/]
- [Malwarebytes [Internet]. [citado 11 de enero de 2024]. Ransom.Clop. Disponible en: https://www.malwarebytes.com/blog/detections/ransom-clop]
