Select your local Conscia office:
Go to
Kontakt

Skupina CL0P – Analiza naraščajoče evropske grožnje izsiljevalske programske opreme

Domov » Blogi » Skupina CL0P – Analiza naraščajoče evropske grožnje izsiljevalske programske opreme
David Kasabji Vodilni analitik varnostno-obveščevalnih podatkov

Če ste zadnjih nekaj mesecev ali celo zadnje leto spremljali trende na področju kibernetskih groženj, se nedvomno spomnite, da je bilo veliko izkoriščanj na podlagi ničelnega dne (Zero day). Takšne zlorabe niso tako zelo običajne, vsaj ne na področju, kjer bi bile v javnosti zelo prepoznavne.

Ko zadevo zožimo na področje izsiljevalske programske opreme, ne moremo reči, da je takšna količina izkoriščanj ničelnega dne nekaj običajnega. Skupine, ki se ukvarjajo z izsiljevalsko programsko opremo, se ne rabijo zanašati na izkoriščanja na podlagi ničelnega dne, saj so tovrstni akterji groženj večinoma finančno motivirani, zato morajo “razmišljati” bolj kot lastniki podjetij. Da bi ustvarili dobiček, morajo svoje stroške znižati tako, da so manjši od pričakovanih (finančnih) koristi od izsiljevanj z izsiljevalsko programsko opremo. Razvoj (ali nakup) učinkovitih izkoriščevalskih napadov ničelnega dne je izjemno drag (ali pa zahteva ekipe večih strokovnjakov). Zato se bodo povzročitelji groženj z izsiljevalsko programsko opremo verjetno zanašali na različne metode pridobivanja začetnega dostopa, kot sta lažno ribarjenje (phishing) in kraja poverilnic.

Vendar pa je v zvezi s tem našo pozornost pritegnila skupina, ki se ukvarja z izsiljevalsko programsko opremo. Gre za rusko govorečo kibernetsko tolpo, ki je pozornost pritegnila s svojimi obsežnimi izsiljevalskimi kampanjami. Skupina izsiljevalske programske opreme CL0P deluje kot izsiljevalska programska oprema kot storitev (Ransomware-as-a-Service, RaaS). Razvila se je tako, da se ukvarja s posredovanjem začetnega dostopa, prodajo dostopa do kompromitiranih omrežij in upravljanjem velikega botnetn omrežja, namenjenega finančnemu sektorju. Aktivni so vsaj od februarja 2019 in na svoj seznam še naprej vsak teden dodajajo nove žrtve.

Kratka zgodovina skupine CL0P Ransomware

Različica izsiljevalske programske opreme CL0P se je sprva pojavila leta 2019 in se je razvila iz različice CryptoMix. Deluje kot izsiljevalska programska oprema kot storitev (Ransomware as a Service – RaaS) in je bila uporabljena predvsem v obsežnih kampanjah “spear-phishing”, pri čemer je uporabljala preverjene in digitalno podpisane binarne datoteke za izogibanje varnostnim sistemom. CL0P je zaslovel s taktiko “dvojnega izsiljevanja”, ko je kradel in šifriral podatke žrtev ter grozil, da jih bo objavil na spletnem mestu CL0P^_-LEAKS Tor.

Leta 2021 je CL0P za napade z izsiljevalsko programsko opremo izkoristil 4 ranljivosti ničelnega dne v programski opremi za prenos datotek Accellion.

Nosilec grožnje, ki stoji za CL0P (v nadaljevanju ga bomo imenovali CL0P Ransomware Group, vendar so mu bila dodeljena različna kodna imena), je pomemben akter na področju kriminalne distribucije zlonamerne programske opreme. Ta skupina je ogrozila več kot 3.000 ameriških organizacij in 8.000 globalnih subjektov. Skupina se ukvarja z različnimi dejavnostmi, med drugim z operacijami RaaS, posredovanjem začetnega dostopa in obsežnimi operacijami botnetov za finančne goljufije in phishing napade.

Taktika skupine je vključevala izkoriščanje ničelnega dne za vdor v sisteme. Konec januarja 2023 je skupina CL0P ransomware pričela s kampanjo, v kateri je uporabila ranljivost ničelnega dne, zdaj označeno kot CVE-2023-0669, za napad na platformo GoAnywhere MFT.

Skupina je trdila, da je iz platforme GoAnywhere MFT v desetih dneh pridobila podatke, ki so prizadeli približno 130 žrtev. Čeprav ni bilo zaznano bočno gibanje v omrežjih žrtev, je prišlo do iznosa podatkov. Skupina je vodstvu prizadetih podjetij naknadno poslala pisma z odkupnino in zagrozila z objavo ukradenih datotek na spletnem mestu za uhajanje podatkov CL0P, če ne bodo prejeli odkupnine.

Slika 1 – izsiljevalsko pismo skupine CL0P

Analiza TTP in infrastrukture skupine izsiljevalske programske opreme CL0P

Tako kot številne skupine izsiljevalske programske opreme, se tudi skupina CL0P veliko zanaša na zlonamerno programsko opremo za krajo informacij. Navedli bomo nekaj takih, ki smo jih našli sami in iz poročil tretjih oseb.

  • Cobalt Strike se uporablja za razširitev dostopa do omrežja po vdoru v strežnik Active Directory (AD) [T1018].
  • FlawedAmmyy/FlawedGrace je trojanski konj za oddaljeni dostop (RAT), ki zbira informacije in poskuša komunicirati s strežnikom C2 (Command and Control), da bi olajšal prenos dodatnih komponent zlonamerne programske opreme [T1071], [T1105].
  • Truebot, povezan s hekersko skupino Silence, je prvostopenjski prenosni modul, ki lahko zbira sistemske informacije in zajema posnetke zaslona [T1113]. Ko je Truebot povezan z infrastrukturo C2, ga je mogoče usmeriti, da naloži lupinsko kodo [T1055] ali DLL [T1574.002], prenese dodatne module [T1129], jih izvrši ali se odstrani [T1070]. V primeru TA505 je bil Truebot uporabljen za pridobivanje svetilnikov FlawedGrace ali Cobalt Strike.
  • SDBot RAT širi okužbo z izkoriščanjem ranljivosti in odlaganjem svojih kopij na izmenljive pogone in v omrežne skupne dele [T1105]. Razširja se lahko tudi prek omrežij P2P (peer-to-peer). SDBot deluje kot zadnja vrata [T1059.001] za izvajanje različnih ukazov in operacij v okuženem računalniku. Za ohranjanje in izogibanje odkrivanju uporablja prilagajanje aplikacij [T1546.011].
  • DEWMODE, napisan v PHP, deluje kot spletna lupina za naprave Accellion FTA. Sodeluje z osnovno podatkovno zbirko MySQL in omogoča krajo podatkov iz ogrožene naprave [T1505.003].
  • LEMURLOOT, napisan v jeziku C#, je spletna lupina, namenjena platformi MOVEit Transfer. Preverja pristnost dohodnih zahtevkov HTTP z močno zakodiranim geslom. Izvaja lahko ukaze za prenos datotek iz sistema MOVEit Transfer, pridobiva nastavitve sistema Azure, pridobiva podrobne informacije o zapisih in izvaja dejanja, povezana z uporabnikom. Pri odgovarjanju na zahteve spletna lupina vrača podatke v stisnjeni obliki gzip.

Pred kratkim pa smo jih nazadnje spomnili na izkoriščanje ranljivosti v izdelku MOVEit File Transfer, s katerim so (kot smo že omenili) v samo 10 dneh svoje akcije okužili 130 žrtev.

Zgodba o CL0P in ničelnih dnevih

Omenili smo, da je za skupine izsiljevalske programske opreme zelo netipično, da uporabljajo izkoriščanje ničelnega dne, vendar jih je skupina CL0P zelo rada uporabljala. Kako je to mogoče? Razvoj podvigov ničelnega dne zahteva zelo izurjene talente, običajno je to ekipa.

Glede na intervju med Dustinom Childom iz pobude Zero Day Initiative družbe Trend Micro in podjetjem The Record (iz Recorded Future), obstaja velika verjetnost, da so podvige za ranljivost MOVEit kupili.

Dejstvo je, da se dejansko govori, da skupina CL0P kupuje načine za izkoriščanje na temnem spletu. Vendar se vprašajmo tole: Koliko izmed nas je vedelo za ranljivost MOVEit pred množičnimi kampanjami izkoriščanja? Domnevam, da je poleg tistih bralcev, ki so ga uporabljali, zanjo verjetno vedel le malokdo. Večina je ranljivost morala raziskati, ko je bil objavljen ničelni dan.

To je ena od poslovnih metod, v katerih je skupina CL0P dobra. Čeprav MOVEit morda ni bil splošno prepoznaven izdelek, so ga številne organizacije še vedno pogosto uporabljale. Skupina CL0P je opravila raziskavo in to vedela, zato so kupovali ranljivosti, povezane s tem izdelkom.

Čeprav je izredno težko govoriti o golih dejstvih, ne da bi imeli notranje informacije, se zdi, da je to glede na razpoložljive informacije zanje veljaven način dela. To bi bilo povsem smiselno tudi s poslovnega vidika – saj so podvigi za manj znane izdelke veliko cenejši kot na primer ničelni dan v programu MS Word. Ker so cenejši, je to za skupino CL0P še vedno dobičkonosen poslovni model.

Video

Kako se pripraviti na direktivo NIS2

Preberi več

Taktike izsiljevanja

Najbolj priljubljena taktika izsiljevanja doslej je bila tako imenovana »taktika dvojnega izsiljevanja«, pri kateri nasprotnik izsili podatke iz okolja žrtve, zašifrira sisteme in nato izsiljuje podjetje ali mu grozi, da bo javno razkril ukradene podatke, če ne bo plačal zahtevane odkupnine. Zaradi zadnjega dela gre za »dvojno izsiljevanje«, saj skupine izsiljevalske programske opreme ne ponujajo več ključa za dešifriranje sistemov, temveč grozijo tudi z javno objavo podatkov, če zahteve ne bodo izpolnjene.

Vendar se bomo zdaj vrnili k temu, kar smo že obravnavali, in sicer k dejstvu, da morajo skupine za izsiljevalsko programsko opremo ostati dobičkonosne. To je dandanes po navadi težje, saj so organizacije zdaj bolj »ranljive za izsiljevalsko programsko opremo« že s preprostim upoštevanjem dobrih praks varnostnega kopiranja sistemov. Če bi bile varnostne kopije pravilno ustvarjene, bi sisteme zlahka obnovile, tudi če bi bili šifrirani – zato ni bilo prave spodbude za nakup dešifrirnega ključa od skupin, ki se ukvarjajo z izsiljevalsko programsko opremo.

Skupina CL0P se je tega zavedala, zato je uporabila metodo, pri kateri preprosto iznaša podatke, ne da bi jih šifrirala, nato pa od žrtev izsiljuje sprostitev podatkov, če ne plačajo.

Ta metoda ima za akterje groženj tri pomembne prednosti:

  1. Ni več treba pisati zlonamerne programske opreme, ki šifrira vse sisteme in zagotavlja, da postopek dešifriranja deluje, če je odkupnina plačana.
  2. Bistveno skrajša čas vdora v kibernetski prostor, zaradi česar je mogoče hitreje izvesti napade in pri tem ostati bolj prikrit. Pametna eksfiltracija podatkov je lahko zelo prikrit proces, medtem ko je začetek procesa okužbe resnično očiten.
  3. Ker bi postopek šifriranja zahteval nekaj več korakov v verigi napada, se odpira možnost, da bodo napadalci ujeti pri dejanju ali da bodo pri tem nenamerno pustili prepoznavne prstne odtise, kar je zanje izjemno slabo.
Slika 2 – Časovnica aktivnosti skupine CL0P leta 2023

Najboljša obramba pred skupino CL0P

Zaradi načina delovanja, ki je v veliki meri odvisen od izkoriščanja ranljivosti za pridobitev začetnega dostopa, lahko našim bralcem priporočimo, da poskrbite za varnost svoje programske opreme.

Vendar v primeru izkoriščanj ničelnega dne popravek morda ne bo na voljo pravočasno; v tem primeru (če bi vas izkoriščanje prizadelo) vam toplo priporočamo, da se posvetujete s svojimi varnostnimi ekipami, da:

  • Pregledajo vašo arhitekturo kibernetske varnosti in se prepričajo, da uporabljate najpogostejše najboljše prakse, kot so načelo najmanjših privilegijev, dobra segmentacija omrežja, omejevanje odhodnega omrežnega prometa ter zagotavljanje zmogljivosti za spremljanje kritičnih sistemov in sistemov, ki lahko na kakršen koli način sodelujejo s temi sistemi.
  • Pripravijo načrt odzivanja na incidente za ravnanje ob morebitnem vdoru.
  • Spremljajo obveščevalne vire o grožnjah in razvijajo mehanizme za odkrivanje poskusov izkoriščanja.

Cilj bi bil bistveno ovirati napadalca pri iznosu podatkov iz vašega okolja. Če jim to otežite, si preprosto ne bodo mogli privoščiti, da bi porabili čas za ukvarjanje s posebnostmi vašega okolja – ali še huje, tvegali, da jih ujamete.