Om du har följt vad som har hänt inom cyberhot det gångna året vet du att det har inträffat ovanligt många zero-day-attacker. Tidigare var zero-day-attacker inte så vanliga vanliga eftersom de flesta hotaktörer valde andra metoder. Men nu verkar en förändring skett. Här kan du läsa hur ransomware-gruppen CL0P tar sig förbi säkerhetssystem.
Den stora mängden zero-day-attacker i år ligger definitivt utanför det normala. Eftersom ransomware-aktörer främst drivs av ekonomiska intressen ”tänker” de som företagare. För att tjäna pengar är de likt företag måna om att sänka sina kostnader. Utveckling (eller inköp) av zero-day-attacker är extremt dyrt (eller kräver expertteam). Det innebär att ransomware-aktörer hellre väljer andra metoder, såsom phishing eller stulna inloggningsuppgifter.
Men en rysktalande hackergrupp fångade nyligen vår uppmärksamhet. Ransomware-gruppen CL0P fungerar som en Ransomware-as-a-Service (RaaS). Gruppen säljer access, ingång i komprimerade nätverk, genomför phishing-attacker och driver ett stort botnät riktat mot finanssektorn. De har varit aktiva sedan åtminstone februari 2019 och lägger nya offer till sin listan varje vecka.
Vilka är CLoP?
Ranomware-delen av CL0P dök upp första gången 2019 som en avknoppning från CryptoMix. Gruppen fungerar som en Ransomware as a Service (RaaS) som utför riktade, storskaliga, phishing-kampanjer där verifierade och digitalt signerade binärer använts för att ta sig förbi säkerhetssytem. De har blivit kända för taktiken ’dubbel utpressning’, där de stjäl och krypterar offrets data och hotar med att publicera den på CL0P^_-LEAKS Tor-websida.
Under 2021 genomförde gruppen attacker med hjälp av fyra zero-day-sårbarheter i Accellion filöverföringsprogramvara.
Aktörerna bakom CL0P (vi kallar dem CL0P här, men gruppen går under flera olika kodnamn) har tagit en betydande roll inom olaglig spridning av skadlig programvara – och har hittills komprometterat över 3 000 organisationer i USA och 8 000 globala enheter.
En av gruppens taktiker för att infiltrera system är med hjälp av zero-day-sårbarheter. I slutet av januari 2023 lanserade CL0P en attack just på det sättet, nu katalogiserad som CVE-2023-0669, med siktet inställt på plattformen GoAnywhere MFT. Gruppen påstående att de exfiltrerat data från GoAnywhere MFT-plattformen påverkade cirka 130 offer under 10 dagar. Även om sidledsförflyttning inom offrens nätverk aldrig upptäcktes är det belagt att dataexfiltrering ägde rum. Gruppen skickade sedan lösenmeddelanden till företagens ledningsgrupper och hotade med att publicera stulna filer på CL0P-dataläcksida om de inte betalade lösensumman.
Hur använder CLoP Zero-Day?
Som nämnt hör det till ovanligheterna att ransomware-grupper använder zero-day-attacker, men det tycks inte stämma för CL0P.
Hur är det ens möjligt med tanke på att zero-day-attacker kräver djup kunskap och ofta ett helt team? Enligt Dustin Child från Trend Micros Zero Day Initiative och The Record (från Recorded Future) är svaret att gruppen sannolikt köper attacker för MOVEit-sårbarheter.
Och faktum är att det ryktas att CL0P-gruppen köpt exploateringar på Dark Web. Men låt oss fråga: Hur många kände ens till MOVEit före de massiva attackerna? Få skulle jag gissa. Majoriteten (inklusive undertecknad) tog sannolikt reda på vad MOVEit är när attackerna blev kända.
CLoP Zero-gruppens förmåga
Just här ligger en del av CL0P-gruppens förmåga. MOVEit var kanske inte en välkänd produkt, men den användes av många organisationer. CL0P-gruppen tog reda på just det och letade efter sårbarheter att köpa.
Utan insiderinformation inifrån gruppen är det extremt svårt att veta säkert. Men tillgänglig information tyder på att det här är deras modus operandi. Eftersom sårbarheter i okända produkter kostar mindre än exempelvis zero day-sårbarheter i MS Word är det här rationellt utifrån ett affärsperspektiv.
Vad innebär dubbelutpressning?
Den mest populära utpressningstaktiken hittills har varit så kallade ”dubbel-utpressning”, där hotaktören exfiltrerar data från offrets miljö, krypterar system och hotar att avslöja stulen data om företaget inte betalar lösensumman.
Men låt oss återkomma till det vi diskuterade tidigare: att många ransomware-grupper agerar affärsmässigt och vill vara lönsamma. I takt med att organisationer blir allt mer ”ransomware-medvetna” och följer god praxis för backup blir det svårare för utpressarna. Med säkerhetskopior är det enkelt att återställa systemen om de blir krypterade. Därmed finns egentligen ingen anledning att köpa dekrypteringsnyckeln från ransomware-gruppen.
CL0P-gruppen har förstått det här och gått över till att exfiltrerar data utan kryptering och istället hota att sprida datan om offret inte betalar.
Metoden har tre stora fördelar för hotaktörer:
- Den krävs ingen skadlig kod som krypterar alla system eller en fungerande dekrypteringsprocess om lösenbeloppet betalas.
- Med drastiskt minskad tid för cyberspårning hinner hotaktören göra fler spårlösa attacker. Skickligt exfiltrerad data kan ske ljudlöst, medan en startad infektion är högljudd.
- Eftersom krypteringsprocessen kräver några fler steg ökar risken för upptäckt eller att hotaktören råkar lämna identifierbara spår.
Så försvarar du dig mot zero-day-attacker
Eftersom CL0P får access med hjälp av sårbarheter är vår starka rekommendation att uppdatera programvara och produkter. Vid zero-day-attacker finns patchen inte alltid tillgänglig i tid. I de fallen rekommenderar vi att ditt säkerhetsteam:
- Granskar din cybersäkerhetsarkitektur och säkerställer bästa praxis, såsom Principle of Least Privilege, bra nätverkssegmentering, restriktiv utgående nätverkstrafik och övervakningsmöjligheter på kritiska system såväl som system som kan interagera med dessa.
- Förbereder en plan för incidenthantering.
- Övervakar hotintelligensflöden och tar fram detektionsmekanismer för intrångsförsök.
Du vill göra datastöld från din miljö så komplicerat som möjligt. Ju mer komplicerat, desto dyrare för hotaktören – samtidigt som risken för upptäckt ökar.
