Sicherheitsforscher haben zum ersten Mal die produktive Clop-Ransomware-Operation beobachtet, die auf Linux-Systeme abzielt. Die gute Nachricht ist, dass die fehlerhafte Verschlüsselung, die von der neuen Variante verwendet wird, es den Opfern ermöglicht, ihre gestohlenen Dateien kostenlos wiederherzustellen.
Die neue Linux-Variante der Clop-Ransomware wurde von SentinelLabs-Forscher Antonis Terefos entdeckt und detailliert beschrieben. In ein Blogbeitrag, Terefos sagte, er habe die dateiverschlüsselnde Malware, die auf Linux-Systeme abzielte, erstmals am 26. Dezember beobachtet, nachdem die Ransomware-Bande die neue Malware verwendet hatte, um eine Universität in Kolumbien anzugreifen, die im Januar zu Clops Dark-Web-Leck-Site hinzugefügt wurde. Clops Leckage-Site, die weiterhin aktiv ist, listet derzeit die Universität La Salle in Kolumbien neben dem britischen Wasserversorger South Staffordshire Water unter den jüngsten Opfern auf.
Terefos merkt an, dass die neue Linux-Variante der Windows-Version ähnlich ist, dieselbe Verschlüsselungsmethode und ähnliche Prozesslogik verwendet, aber mehrere Fehler enthält, darunter eine defekte Ransomware-Verschlüsselungslogik, die es ermöglicht, die Originaldateien zu entschlüsseln, ohne eine Lösegeldforderung zu zahlen. Als solches hat SentinelLabs eine kostenloses Dateientschlüsselungstool für Clop-Opfer verfügbar, die das Unternehmen Tech mitteilt, hat es auch mit den Strafverfolgungsbehörden geteilt.
Terefos sagte, dass einige der Fehler existieren, weil die Clop-Hacker beschlossen, eine maßgeschneiderte Linux-Variante der Ransomware zu bauen, anstatt sie über die Windows-Version zu portieren, warnte jedoch vor weiterer Ransomware, die auf Linux abzielt.
„Während die Linux-Variante von Clop derzeit noch in den Kinderschuhen steckt, legen ihre Entwicklung und die fast allgegenwärtige Verwendung von Linux in Servern und Cloud-Workloads nahe, dass Verteidiger mit weiteren auf Linux ausgerichteten Ransomware-Kampagnen rechnen sollten.“ sagte Terefos.
Tech hat SentinelLabs gefragt, wie viele Clop-Infektionen es beobachtet hat, und wird es aktualisieren, wenn wir eine Rückmeldung erhalten.
Die russischsprachige Clop-Ransomware-Bande ist seit 2019 aktiv, erlitt aber offenbar 2021 einen großen Rückschlag, als sechs mit der Bande verbundene Personen nach einer internationalen Strafverfolgungsoperation mit dem Codenamen Operation Cyclone festgenommen wurden. Die ukrainische Polizei sagte damals auch, dass sie die von der Bande genutzte Serverinfrastruktur erfolgreich abgeschaltet habe. Aber Clop forderte nur wenige Wochen nach den Polizeirazzien immer wieder neue Opfer, darunter einen Händler für landwirtschaftliche Geräte und ein Architekturbüro.
Die Bande feierte 2022 ein Comeback, wobei Clop hinzufügte 21 Opfer allein in nur einem Monat auf seine Dark-Web-Leak-Site.
„Die zunehmende Aktivität von Clop scheint darauf hinzudeuten, dass sie in die Bedrohungslandschaft zurückgekehrt sind“, sagte Matt Hull, Global Lead for Strategic Threat Intelligence bei der NCC Group. „Organisationen in den am stärksten betroffenen Sektoren von Clop – insbesondere Industrie und Technologie – sollten die Bedrohung berücksichtigen, die diese Ransomware-Gruppe darstellt, und darauf vorbereitet sein.“