Siirry pääsisältöön

CL0P-kiristysohjelma: Mikä se on ja miten se toimii?

cl0p-kiristysohjelmahyökkäys varastaa salattuja tietoja

Viime vuosina cl0p-kiristysohjelmasta on tullut merkittävä kyberturvallisuusuhka, ja se on aiheuttanut suuria vahinkoja monille organisaatioille ja toimialoille eri puolilla maailmaa. Vaikka cl0p-virushyökkäykset toimivat yleensä samalla tavalla kuin muutkin kiristysohjelmahyökkäykset, niissä on joitakin erityisiä piirteitä.

Mikä cl0p-kiristysohjelma tarkalleen ottaen on ja miten hyökkäykset tapahtuvat? Ja ennen kaikkea: mitä organisaatiot voivat tehdä ehkäistäkseen nämä hyökkäykset, joilla voi olla huomattavia taloudellisia vaikutuksia?

CL0P-kiristysohjelman lyhyt historia

Cl0p, joka joskus kirjoitetaan nollalla O-kirjaimen sijaan, on eräänlainen kiristysohjelma. Vaikka cl0p-kiristysohjelma ei olekaan täysin sama kuin CryptoMix, sen uskotaan ottaneen mallia tästä varhemmasta haittaohjelmasta. Tämä troijalainen on kuitenkin käynyt läpi useita iteraatioita, ja vanhat versiot korvautuvat uusilla nopeaan tahtiin.

Tietoturvatutkijat löysivät cl0pin helmikuussa 2019 suuren kohdennetun tietojenkalasteluhyökkäyksen seurauksena. Se oli – ja on edelleen – merkittävä kyberturvallisuusuhka kaikenlaisille yrityksille ja organisaatioille, sillä se vioittaa uhrien laitteilla olevia tiedostoja ja kiristää uhreiltaan lunnasmaksuja. Itse asiassa uskotaan, että cl0p-kiristysohjelman takana oleva ryhmä on kiristänyt omalla haittaohjelmallaan rahaa maailmanlaajuisilta energiakonserneilta, useilta tärkeiltä yliopistoilta, BBC:ltä, British Airwaysilta ja monilta valtion virastoilta.

Vuonna 2020 cl0p-kiristysohjelmaryhmä toteutti hyökkäyksen, jossa se käytti hyväkseen Kiteworksin (entinen Accellion) yksityisen sisältöverkon haavoittuvuuksia kohdistaakseen hyökkäyksen alustan asiakkaisiin ja tunkeutuakseen heidän verkkoihinsa – itse cl0p-haittaohjelmaa ei kuitenkaan käytetty tässä hyökkäyksessä. Samaan aikaan cl0p-troijalaisen luojat käynnistivät kaksoiskiristyshankkeen, jonka yhteydessä he vuotivat lääkeyritykseltä varastamiaan tietoja ja saivat aikaan massiivista tuhoa.

Tätä seurasivat vuonna 2021 hyökkäykset IT-hallintaratkaisuja tarjoavaa SolarWinds-ohjelmistoyritystä ja singaporelaista merenkulkupalvelujen tarjoajaa Swire Pacific Offshorea vastaan.

Vuonna 2023 cl0pin aktiivisuus lisääntyi entisestään. Vuoden 2023 tammikuun ja kesäkuun välisenä aikana troijalaisen avulla toteutettiin hyökkäyksiä eri toimialoilla. Kärjessä olivat liiketoimintapalvelut, ja heti perässä seurasivat ohjelmisto- ja rahoitusala. Monet hyökkäyksen kohteista sijaitsivat Pohjois-Amerikassa ja Euroopassa, ja hyökkäyksiä tehtiin selvästi eniten Yhdysvalloissa.

Hyökkäyksen laajuus oli merkittävä, sillä yli 2 000 organisaatiota ilmoitti tapauksista ja yli 62 miljoonan henkilön tiedot vuotivat, pääasiassa Yhdysvalloissa.

MOVEit-tiedostonsiirto-ohjelmiston haavoittuvuuteen (CVE-2023-34362) perustuva kiristysohjelmahyökkäysten sarja huipentui Cl0p-ryhmän ilmoitukseen, jossa se ilmoitti murtautuneensa satojen yritysten tietojärjestelmiin ja julkaisi uhkavaatimuksen, jonka takaraja oli 14. kesäkuuta. Hyödyntämällä nollapäivän haavoittuvuutta ryhmä onnistui lataamaan valtavia määriä organisaatioiden tietoja, mukaan lukien luottamuksellisia tietoja. Yhdysvaltain lainvalvontaviranomaiset päättivät tarjota 10 miljoonan dollarin palkkion cl0pia koskevista tiedoista.

Mikä on cl0p?

Mikä siis on cl0p? Cl0p-kiristysohjelman analyysi osoittaa, että se on muunnelma CryptoMix-kiristysohjelmasta. Samoin kuin CryptoMix, cl0p-virus tartuttaa kohteena olevan laitteen. Tämä kiristysohjelma lisää kuitenkin kaikkien tiedostojen nimiin .cl0p-päätteen ja salaa tiedostot, niin että ne ovat käyttökelvottomia.

Toteuttaakseen hyökkäyksensä tehokkaasti cl0p-kiristysohjelma noudattaa suoritettavien tiedostojen Win32 PE (Portable Executable) -tiedostomuotoa. Mikä tärkeintä, tutkijat ovat löytäneet cl0p-viruksen suoritettavia tiedostoja, joilla on vahvistetut allekirjoitukset. Tämä saa haittaohjelman näyttämään luotettavalta tiedostolta ja auttaa sitä välttämään tunnistusta. Tämän jälkeen cl0p salaa tiedostot RS4-jonosalauksella ja käyttää sitten RSA 1024:ää RC4-avainten salaamiseen. Tämäntyyppinen kiristysohjelmatartunta vaarantaa kaikki laitteella olevat tiedostot, mukaan lukien kuvat, videot, musiikkitiedostot ja asiakirjat.

Tiedostojen salaamisen jälkeen cl0p-virus vaatii uhreilta lunnaita. Jos lunnaita ei makseta, hyökkääjä uhkaa vuotaa tiedostojen sisältämät tiedot. Tätä kutsutaan ”kaksoiskiristykseksi”, koska uhrin tiedostot salataan ja tiedot uhataan vuotaa julkisesti. Uhreja kehotetaan yleensä maksamaan lunnaat Bitcoinilla tai muulla kryptovaluutalla.

Kuka on cl0p-kiristysohjelman takana?

Kuka loi cl0p-kiristysohjelman? Cl0p-kiristysohjelman uskotaan olevan taloudellista hyötyä havittelevan venäjänkielisen Ransomware-as-a-service-kyberrikollisryhmän kehittämä. Ryhmä tunnetaan nimellä TA505 tai FIN11. Ei ole täysin selvää, onko kyseessä sama ryhmä vai onko FIN11 TA505:n alaryhmä.

Olipa nimi kumpi hyvänsä, cl0p-kiristysohjelmajengi tarjoaa tuotettaan Ransomware-as-a-Service-mallilla. Cl0p-virus on myynnissä pimeässä verkossa, ja teoriassa kuka tahansa verkkorikollinen, joka on valmis maksamaan kiristysohjelmasta, voi käyttää sitä.

Cl0p-kiristysohjelma – miten se toimii?

Cl0p-kiristysohjelmaryhmä toteuttaa hyökkäyksensä pääasiassa monivaiheisena prosessina. Nämä ovat:

  1. Hyökkääjät käyttävät haittaohjelmaa päästäkseen käsiksi kohteena olevaan laitteeseen eri menetelmien avulla.
  2. Sen jälkeen he tutkivat laitteen manuaalisesti ja varastavat haluamansa tiedot.
  3. Sitten he käynnistävät salausohjelman, joka lukitsee kohteena olevan laitteen tiedostot muuttamalla niiden tiedostopäätteen, jolloin ne muuttuvat käyttökelvottomiksi. Viime aikoina, samoin kuin vuonna 2023 MOVEit-tiedostonsiirto-ohjelmiston kautta toteutetuissa hyökkäyksissä, tietoja on varastettu ilman, että tiedostoja on salattu.
  4. Kun uhri yrittää avata salattua tiedostoa, hän saa lunnasvaatimusilmoituksen ja ohjeet maksun suorittamiseen.
  5. Hyökkääjä käyttää ”kaksoiskiristystä” eli uhkaa vuotaa uhrin laitteesta varastettuja tietoja, jos lunnaita ei makseta.
  6. Jos lunnaat maksetaan, uhri saa avaimen, jolla hän voi purkaa tiedostojen salauksen laitteellaan.

Hyökkääjät käyttävät erilaisia menetelmiä cl0p-kiristysohjelman toimittamiseen kohdelaitteisiin. Niihin sisältyvät:

  • tietojenkalastelu (sosiaalisen manipuloinnin avulla)
  • ohjelmistojen haavoittuvuuksien hyödyntäminen
  • tartunnan saaneet sähköpostin liitetiedostot ja linkit
  • tartunnan saaneet verkkosivustot
  • ulkoisten etäpalvelujen vaarantaminen.

Riippumatta siitä, minkä menetelmän he valitsevat cl0p-troijalaisen toimittamiseksi kohteena olevaan laitteeseen, hyökkäys toimii pohjimmiltaan samalla tavalla. Tavoitteena on aina saada uhri maksamaan lunnaat. Monissa tapauksissa hyökkääjä kuitenkin ottaa maksun vastaan eikä sen jälkeen enää vastaa. Näissä tapauksissa uhri ei saa salauksenpurkuavainta eikä myöskään tiedostojaan takaisin.

CL0P-kiristysohjelman estäminen

Cl0p-tartunnan välttämiseksi on tärkeää, että kaikki laitteen käyttäjät noudattavat tietokoneen turvallisuutta koskevia perussääntöjä. Yleisesti ottaen kyseessä ovat samat periaatteet, joita sovelletaan kaikentyyppisten kyberhyökkäysten estämiseen:

  • Kerro haittaohjelmista organisaation tietoturvakoulutuksessa, jotta työntekijät pysyvät ajan tasalla uusimmista uhista ja ennaltaehkäisevistä toimenpiteistä. Kaspersky Automated Security Awareness Platform voi olla tässä hyödyllinen työkalu.
  • Suojaa yrityksen tiedot äläkä unohda rajoittaa käyttöoikeuksia.
  • Älä käytä etätyöpöytäpalveluita julkisten verkkojen kautta ja käytä näissä palveluissa tarvittaessa vahvoja salasanoja.
  • Varmuuskopioi tiedot aina ja säilytä ne erillisessä paikassa, esimerkiksi pilvitallennustilassa tai toimistossa ulkoisilla asemilla.
  • Pidä kaikki ohjelmistot ja sovellukset, mukaan lukien käyttöjärjestelmät ja palvelinohjelmistot, ajan tasalla, jotta niihin on varmasti asennettu uusimmat tietoturvakorjaukset. Erityisen tärkeää on asentaa korjaukset välittömästi kaupallisiin VPN-ratkaisuihin, joiden avulla työntekijät voivat etäkäyttää organisaation verkkoja. Toimistoajan ulkopuolelle ajoitetut automaattiset päivitykset ja asennukset voivat auttaa tässä.
  • Pysy ajan tasalla uusimmista uhkaraporteista.
  • Käytä uhkien varhaiseen havaitsemiseen tarkoitettuja ohjelmistoratkaisuja, kuten Kaspersky Endpoint Detection- tai Kaspersky Managed Detection and Response Service -palveluja, jotta voit tunnistaa ja pysäyttää hyökkäykset hyvissä ajoin.
  • Käytä luotettavia päätepisteiden turvallisuusratkaisuja – Kaspersky Endpoint Security for Business sisältää haavoittuvuuksien hyväksikäytön eston, tekoälyyn ja asiantuntijoiden tekemään uhka-analyysiin perustuvan käyttäytymisen tunnistamisen, hyökkäyspinta-alan pienentämisen ja korjauspalvelun, joka voi kumota haitalliset toimet.

Cl0p-kiristysohjelmaviruksen käsittely

Kun laite on saanut cl0p-virustartunnan, tiedostojen palauttaminen on valitettavasti hyvin vaikeaa. Kuten minkä tahansa kiristysohjelmahyökkäyksen kohdalla, yleinen ohje on, että pyydettyjä lunnaita ei kannata maksaa. Tämä johtuu siitä, että hyökkääjät eivät useinkaan anna uhrille salausavainta lunnasmaksun saatuaan. Vaikka uhri saisikin salausavaimen, hyökkäyksen onnistuminen lisää hyökkääjien itseluottamusta ja rohkaisee heitä jatkamaan hyökkäyksiään.

Lunnaiden maksamisen sijaan on yleensä parasta ottaa yhteyttä viranomaisiin, ilmoittaa hyökkäyksestä ja aloittaa tutkinta. On myös mahdollista käyttää jotakin monista yleisesti saatavilla olevista ohjelmistoista laitteen tarkistamiseen ja cl0p-kiristysohjelman poistamiseen. Tämä ei kuitenkaan palauta hyökkäyksen aikana salattuja tiedostoja. Siksi on tärkeää luoda säännöllisiä varmuuskopioita ja tallentaa ne erilliseen paikkaan, kuten ulkoiselle asemalle tai pilvipalveluun, jotta niitä ei menetetä hyökkäyksen sattuessa.

Varovaisuus on kaiken A ja O, kun on kyse tietokoneen turvallisuudesta. On tärkeää olla tarkkana, kun selaat internetiä ja lataat, asennat ja päivität ohjelmistoja.

Cl0pin uhka

Cl0p-kiristysohjelma, kuten muutkin virukset ja haittaohjelmat, on jatkuva kyberturvallisuusuhka yhteiskunnassa, joka on nykyään pitkälti digitaalinen. Cl0p-virus on vain yksi uhka monien muiden kiristysohjelmien joukossa, mutta se koskee erityisesti yrityksiä ja organisaatioita. Vaikka se voi aiheuttaa vakavaa harmia uhreille, on olemassa ennaltaehkäiseviä toimenpiteitä ja suojatoimia, joiden avulla voidaan yrittää minimoida cl0p-hyökkäysten riski tai lieventää viruksen vaikutuksia hyökkäyksen sattuessa.

Aiheeseen liittyviä artikkeleita:

Aiheeseen liittyvät tuotteet ja palvelut:

CL0P-kiristysohjelma: Mikä se on ja miten se toimii?

Minimoi cl0p-kiristysohjelman uhka tutustumalla sen toimintaan ja estämiseen. Lue lisää Kaspersky Resource Centeristä.
Kaspersky logo

Aiheeseen liittyviä artikkeleita