Come funziona CL0P ransomware
Se, un tempo, i soggetti sotto attacco informatico dovevano occuparsi del blocco temporaneo di file e dati, con il CL0P ransomware le cose si sono fatte più difficili. Questa minaccia informatica proveniente dalla Russia ha già fatto numerose vittime. La cyber gang che orchestra furti di dati sensibili, infatti, chiede riscatti minacciando le proprie vittime che, spesso, sono portate a pagare.
Ma come funziona questo particolare ransomware e come difendersi?
In questa guida scopriremo tutte le informazioni note su Cl0p.
Il gruppo Clop: una minaccia informatica dalla cyber gang russa
Ma, prima di analizzare i dettagli sul CL0P ransomware, cercheremo di scoprire in che contesto è stato sviluppato.
La paternità di questa minaccia informatica è attribuita al gruppo Clop, una cyber gang russa specializzata in attacchi ransomware.
Il gruppo di hacker, oltre a sviluppare malware, ha anche un proprio sito web. Ovviamente, il sito degli hacker è accessibile solamente mediante dark web.
Questa cyber gang ha attirato l’attenzione per via della particolare tattica di negoziazione utilizzata con le vittime sotto attacco. Il modus operandi è quasi sempre lo stesso: le vittime vengono minacciate di pubblicazione dei dati rubati in caso di mancato pagamento di un riscatto. Per tale ragione, spesso le vittime sono indotte a pagare.
Inoltre, il nome di questi hacker è diventato noto a livello internazionale per via di uno specifico attacco informatico. Sfruttando una falla del software MOVEit, infatti, hanno attaccato diverse grandi aziende (tra queste, anche la nostrana Stafilo).
Il gruppo di cybercriminali, inoltre, è ben noto in quanto diverse fonti esperte in sicurezza informatica hanno confermato la collaborazione tra Clop e governo russo.
CL0P ransomware, una variante CryptoMix
La cyber gang russa agisce utilizzando il CL0P ransomware, detto anche, più semplicemente, Clop o TA505.
Questo virus informatico rappresenta una variante dei ransomware CryptoMix ed è stato osservato per la prima volta nel 2019.
Come tutti gli attacchi informatici dello stesso tipo, che utilizza la crittografia dei dati per chiedere un riscatto. Ma la particolarità del CL0P ransomware è che si tratta di un attacco talmente evoluto da permettere ai cybercriminali di combinare, al furto di dati sensibili, anche un modello di estorsione quadrupla.
Abbiamo anticipato al paragrafo precedente che le vittime del gruppo Clop spesso, alla fine, decidono di pagare. Questo accade perché i dati rubati, in caso di mancato pagamento, vengono divulgati pubblicamente. Il gruppo possiede infatti, come detto, un sito ufficiale, che serve proprio a tale scopo.
La minaccia informatica in numeri
Uno dei motivi per cui l’attenzione internazionale nei confronti del ransomware Cl0p è cresciuta è rappresentato dai numeri. Infatti, gli attacchi condotti con questo tipo di ransomware sono aumentati del 42% negli ultimi anni. Inoltre, il gruppo Clop è riuscito ad ottenere riscatti per ben 500 milioni di dollari tramite estorsioni e minacce. Con un solo attacco informatico, questa minaccia è in grado di coinvolgere più di 130 organizzazioni.
E, dal già citato attacco a MOVEit, il gruppo ha ottenuto circa 100 milioni di dollari.
Attacco informatico con CL0P ransomware: come funziona
Ma come funziona, esattamente, un attacco informatico con CL0P ransomware?
Il gruppo di hacker spesso compromette le reti e la sicurezza con l’aiuto di altri affiliati. In sostanza, viene attivato un modello RaaS, acronimo di Ransomware-as-a-Service. Attraverso campagne di phishing o mediante lo sfruttamento di falle nei sistemi, vengono distribuiti i malware.
La distribuzione, di frequente, viene effettuata da affiliati. Sono però poi i membri del gruppo Clop a gestire le negoziazioni e a richiedere i riscatti.
Altra particolarità dell’attacco informatico con CL0P ransomware è che il malware può restare silente anche per mesi. Successivamente, però, i cybercriminali intervengono per richiedere il riscatto.
Cl0p e l’attacco informatico a estorsione quadrupla
Il modus operandi del gruppo Clop prevede un’estorsione quadrupla. Inizialmente, l’attacco con ClOp ransomware avviene come qualsiasi altro attacco da parte di un malware.
L’attacco iniziale si basa sulla crittografia: all’azienda viene impedito di accedere ai propri dati. Per poter riottenere i dati crittografati, è richiesto un primo riscatto. Successivamente, il data breach e il furto dei dati conducono a una nuova estorsione. Quest’ultima viene seguita da una terza minaccia: quella, cioè, per cui l’azienda viene avvisata che, in caso di mancato pagamento del riscatto, i dati sensibili verranno pubblicati online.
Infine, l’attacco Cl0P può anche prevedere il coinvolgimento di dipendenti e clienti dell’azienda colpita. In questo modo, oltre all’estorsione, l’impresa viene colpita anche mediante danno alla propria immagine.
I settori più vulnerabili a questa minaccia informatica
Diversi esperti hanno indicato i settori più vulnerabili al CL0P ransomware.
È ormai certo che gli attacchi del gruppo Clop prendono di mira le grandi aziende. Si tratta infatti delle imprese con maggiori disponibilità di denaro. Inoltre, in caso di data breach, le grandi imprese sono più propense a pagare i riscatti, in quanto interrompere i propri servizi causerebbe ingenti danni economici.
Tra i settori maggiormente a rischio sono stati indicati il commercio al dettaglio, oltre che le attività produttive di grandi dimensioni. A rischio, inoltre, anche sanità e trasporti. Tutti questi settori gestiscono infatti quotidianamente un gran quantitativo di dati sensibili. Inoltre, spesso le imprese legate a questi settori registrano una forte dipendenza da dati e reti per portare avanti le proprie attività.
Come difendersi dal CL0P ransomware?
Sebbene il CL0P ransomware rappresenti una minaccia altamente evoluta e sofisticata, le aziende possono comunque difendersi dall’attacco informatico.
Innanzitutto, dato che la miglior difesa è la prevenzione e abbiamo detto che spesso il gruppo Clop sfrutta campagne di phishing.
Le imprese dovrebbero quindi puntare, innanzitutto, sulla sicurezza via email, sia mediante software, sia istruendo il personale. È cioè necessario innanzitutto implementare soluzioni automatizzate in grado di rilevare email malevole. Tuttavia, la formazione del personale non va sottovalutata, in quanto spesso gli attacchi hacker si basano su sofisticate forme di ingegneria sociale.
Inoltre, per evitare minacce che riguardano il blocco alle reti con crittografia, anche i backup regolari di dati sensibili e necessari possono essere d’aiuto. In questo modo, si può evitare di cedere alle richieste di riscatto per riottenere dati critici.
